Организация работы с персональными данными

Вид материалаДокументы
Подобный материал:



ОРГАНИЗАЦИЯ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ


В любой организации собирают, хранят и каким-либо образом используют личную информацию своих сотрудников. Поэтому одной из первостепенных задач сегодняшнего дня в каждой организации является регламентация работы с персональными данными.

Персональные данные относятся к конфиденциальной информации. Именно с них начинается Перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 06.03.1997 N 188.


Работе с персональными данными отведена гл. 14 Трудового кодекса Российской Федерации – «Защита персональных данных работника», в которой дано определение персональных данных работника как «...информации, необходимой работодателю в связи с трудовыми отношениями и касающейся конкретного работника». Информация о работнике, необходимая работодателю, может требоваться в различном объеме в зависимости от специфики организации.

Обработка персональных данных может проводиться только с согласия работников. Выполнение требований Закона и Постановлений Правительства обязательно как для организаций, применяющих информационные системы при обработке персональных данных, так и для организаций, еще ведущих работу с документами на бумажных носителях. Для организации работы с документами, содержащими персональные данные, необходимо провести ряд мероприятий, закрепив их в документах.


Во-первых, если организация крупная и приходится обрабатывать большое количество данных, следует приказом руководителя назначить лицо или подразделение, ответственные за работу с персональными данными и обеспечение их защиты, и наделить их соответствующими полномочиями. Во-вторых, надо уточнить перечень персональных данных, необходимых для данной организации. Трудоемкость защиты персональных данных напрямую зависит от степени важности обработки сведений. Надо уточнить, какие данные не являются необходимыми для организации, и максимально исключить их из собираемых и, следовательно, обрабатываемых. В-третьих – подготовить список лиц, допущенных к работе с персональными данными. Список может иметь табличную форму.

N

Должность

Фамилия, имя, отчество

Основания для доступа

1

2

3

4













Список должен быть утвержден приказом руководителя. Лучше это сделать в приказе о назначении ответственного за работу с персональными данными и дать как приложение к приказу. Приказ может иметь такую типовую форму:

Наименование организации

ПРИКАЗ

от 00.00.0000 N 000

г. …

О назначении ответственного за защиту персональных данных

В целях обеспечения выполнения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"

ПРИКАЗЫВАЮ:

1. Назначить ответственным за реализацию мер, предусмотренных законодательными и нормативными правовыми актами по защите персональных данных (Ф.И.О. или отдел).

2. Внести дополнения в должностные инструкции работников, обрабатывающих персональные данные.

3. Утвердить список лиц, имеющих доступ к персональным данным (прилагается).

Директор

роспись

Ф.И.О.




Основным документом должно стать в каждой организации положение о работе с персональными данными. Положения, уже разработанные в организациях, называются обычно или «О защите персональных данных работника», или «Об организации работы с персональными данными работника». Положение должно охватывать требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите.


Текст положения может делиться на разделы, но может состоять только из пунктов. Все положения начинаются с общих положений, в которых, прежде всего, указываются цель, назначение положения. Например, «в положении о работе с персональными данными работника определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных работника организации (далее приводится название организации)». Затем обязательным в положении должна быть ссылка на законодательные и нормативно-правовые акты, в соответствии с которыми положение разработано: Конституция РФ, Трудовой кодекс РФ (гл. 14), Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации", Постановление Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах передачи данных", Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Указываются соответствующие нормативно-правовые акты субъекта Федерации, на территории которого находится организация, и перечисляются, если они есть, нормативно-правовые акты ведомства, которому она подчинена, и документы своей организации.


В большинстве уже имеющихся положений отдельным пунктом или разделом даются основные понятия, используемые в положении. Все определения берутся, как правило, из Федерального закона "О персональных данных". Специальным пунктом должно быть указано, что относится к персональным данным конкретно вашей организации, т.е. состав персональных данных, используемых в работе. В положении о персональных данных конкретной организации перечисление сведений о работнике, указанное в Федеральном законе "О персональных данных", дополняется и вносится в положение о работе с персональными данными с учетом особенностей деятельности данной организации. Например, сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, работой с детьми, в общепите, о заработной плате и т.д.


Желательно в положении специальным пунктом сразу отнести к персональным данным все сведения, содержащиеся в документах, заполняемых работником при поступлении на работу, и документах, оформляемых в процессе трудовой деятельности: личном заявлении, анкете, приказах по личному составу, личной карточке, личном деле, трудовом договоре (контракте), дополнительном соглашении, трудовой книжке, материалах аттестационных комиссий, отчетах, аналитических и справочных материалах, передаваемых в государственные органы статистики, налоговые инспекции, головную организацию и другие учреждения.


В разделе "Сбор и обработка персональных данных" обязательно есть пункт, в котором указывается, что персональные данные получаются и обрабатываются на основании письменного согласия работника на обработку его персональных данных. Обычно оно оформляется в форме заявления, в котором дается согласие на использование сведений (содержащих фамилию, имя, отчество; вид и номер основного документа, удостоверяющего личность; сведения о дате выдачи указанного документа и выдавшем его органе; адрес субъекта персональных данных, наименование и адрес организации, получающей согласие субъекта персональных данных; цель обработки персональных данных; перечень действий с персональными данными, на обработку которых дается согласие; общее описание используемых в организации способов обработки персональных данных; срок, в течение которого действует согласие и порядок его отзыва). Можно в организации составить трафаретный текст такого заявления.

Отдельным пунктом положения о персональных данных обязательно перечисляется, в каких случаях не требуется согласия работника на обработку его персональных данных. В положении оговариваются также порядок передачи персональных данных, способ их хранения и защиты.


Персональные данные сегодня почти повсеместно хранятся как на бумажных, так и на электронных носителях. Независимо от носителя они подлежат защите как конфиденциальная информация с ограниченным доступом (на бумажных носителях – в закрытых шкафах и сейфах, на электронных – при помощи встроенных механизмов безопасности, используемого программного обеспечения и дополнительных аппаратно-программных средств).


В разделе «Доступ к персональным данным» оговаривается порядок доступа к ним работника организации, третьих лиц по доверенности работника, других организаций. Например, в установленном порядке данные передаются в органы Пенсионного фонда, органы социального обеспечения, контрольно-надзорным и правоохранительным органам. С письменного согласия работника его персональные данные могут быть представлены родственникам и членам семьи работника, а страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам персональные данные предоставляются при наличии не только письменного согласия работника, но и копии договора этих организаций с работником. Как приложение или отдельным пунктом в положении перечисляются должностные лица организации, имеющие право доступа к персональным данным, например директор, аппарат дирекции, сотрудники бухгалтерии, сотрудники управления безопасности и режима, сотрудники службы кадров, руководители подразделения, в подчинении которых находится работник, и т.д. Заканчивается положение разделом об ответственности за нарушение норм, регулирующих обработку персональных данных.

Положение о работе с персональными данными является локальным нормативным актом организации, обязательным для исполнения всеми работниками, оно утверждается руководителем организации или приказом.

Обычно положение о работе с персональными данными разрабатывается руководителем службы кадров совместно с руководителем IT-службы, обеспечивающей защиту персональных данных в электронной форме.


"Трудовое право", 2011, N 5