Организация работы с персональными данными
| Вид материала | Документы |
- Семинар для, 43.69kb.
- Берем «рыбу» готовим… инструкцию от Дяди Лёни, 939.02kb.
- Организация работы с одаренными учащимися, 393.72kb.
- Языки манипулирования данными (ямд), 68.4kb.
- Знание в интеллектуальных системах Вагин В. Н. Введение. Характерные особенности знания, 552.93kb.
- Организация шин. Принципы построения мпс. Архитектура мп. Организация внешней памяти, 196.93kb.
- Отчет по лабораторной работе должен содержать: наименование работы и номер, схемы, 365.83kb.
- М. Н. Работа над содержанием задачи, 529.14kb.
- Результатом работы является отчет о выполненной курсовой работе, диск с материалами, 104.44kb.
- Результатом работы является отчет о выполненной курсовой работе, диск с материалами, 106.32kb.
ОРГАНИЗАЦИЯ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
В любой организации собирают, хранят и каким-либо образом используют личную информацию своих сотрудников. Поэтому одной из первостепенных задач сегодняшнего дня в каждой организации является регламентация работы с персональными данными.
Персональные данные относятся к конфиденциальной информации. Именно с них начинается Перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 06.03.1997 N 188.
Работе с персональными данными отведена гл. 14 Трудового кодекса Российской Федерации – «Защита персональных данных работника», в которой дано определение персональных данных работника как «...информации, необходимой работодателю в связи с трудовыми отношениями и касающейся конкретного работника». Информация о работнике, необходимая работодателю, может требоваться в различном объеме в зависимости от специфики организации.
Обработка персональных данных может проводиться только с согласия работников. Выполнение требований Закона и Постановлений Правительства обязательно как для организаций, применяющих информационные системы при обработке персональных данных, так и для организаций, еще ведущих работу с документами на бумажных носителях. Для организации работы с документами, содержащими персональные данные, необходимо провести ряд мероприятий, закрепив их в документах.
Во-первых, если организация крупная и приходится обрабатывать большое количество данных, следует приказом руководителя назначить лицо или подразделение, ответственные за работу с персональными данными и обеспечение их защиты, и наделить их соответствующими полномочиями. Во-вторых, надо уточнить перечень персональных данных, необходимых для данной организации. Трудоемкость защиты персональных данных напрямую зависит от степени важности обработки сведений. Надо уточнить, какие данные не являются необходимыми для организации, и максимально исключить их из собираемых и, следовательно, обрабатываемых. В-третьих – подготовить список лиц, допущенных к работе с персональными данными. Список может иметь табличную форму.
| N | Должность | Фамилия, имя, отчество | Основания для доступа |
| 1 | 2 | 3 | 4 |
| | | | |
Список должен быть утвержден приказом руководителя. Лучше это сделать в приказе о назначении ответственного за работу с персональными данными и дать как приложение к приказу. Приказ может иметь такую типовую форму:
| Наименование организации | ||
| ПРИКАЗ | ||
| от 00.00.0000 N 000 | ||
| г. … | ||
| О назначении ответственного за защиту персональных данных | ||
| В целях обеспечения выполнения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" | ||
| ПРИКАЗЫВАЮ: | ||
| 1. Назначить ответственным за реализацию мер, предусмотренных законодательными и нормативными правовыми актами по защите персональных данных (Ф.И.О. или отдел). | ||
| 2. Внести дополнения в должностные инструкции работников, обрабатывающих персональные данные. | ||
| 3. Утвердить список лиц, имеющих доступ к персональным данным (прилагается). | ||
| Директор | роспись | Ф.И.О. |
Основным документом должно стать в каждой организации положение о работе с персональными данными. Положения, уже разработанные в организациях, называются обычно или «О защите персональных данных работника», или «Об организации работы с персональными данными работника». Положение должно охватывать требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите.
Текст положения может делиться на разделы, но может состоять только из пунктов. Все положения начинаются с общих положений, в которых, прежде всего, указываются цель, назначение положения. Например, «в положении о работе с персональными данными работника определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных работника организации (далее приводится название организации)». Затем обязательным в положении должна быть ссылка на законодательные и нормативно-правовые акты, в соответствии с которыми положение разработано: Конституция РФ, Трудовой кодекс РФ (гл. 14), Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации", Постановление Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах передачи данных", Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Указываются соответствующие нормативно-правовые акты субъекта Федерации, на территории которого находится организация, и перечисляются, если они есть, нормативно-правовые акты ведомства, которому она подчинена, и документы своей организации.
В большинстве уже имеющихся положений отдельным пунктом или разделом даются основные понятия, используемые в положении. Все определения берутся, как правило, из Федерального закона "О персональных данных". Специальным пунктом должно быть указано, что относится к персональным данным конкретно вашей организации, т.е. состав персональных данных, используемых в работе. В положении о персональных данных конкретной организации перечисление сведений о работнике, указанное в Федеральном законе "О персональных данных", дополняется и вносится в положение о работе с персональными данными с учетом особенностей деятельности данной организации. Например, сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, работой с детьми, в общепите, о заработной плате и т.д.
Желательно в положении специальным пунктом сразу отнести к персональным данным все сведения, содержащиеся в документах, заполняемых работником при поступлении на работу, и документах, оформляемых в процессе трудовой деятельности: личном заявлении, анкете, приказах по личному составу, личной карточке, личном деле, трудовом договоре (контракте), дополнительном соглашении, трудовой книжке, материалах аттестационных комиссий, отчетах, аналитических и справочных материалах, передаваемых в государственные органы статистики, налоговые инспекции, головную организацию и другие учреждения.
В разделе "Сбор и обработка персональных данных" обязательно есть пункт, в котором указывается, что персональные данные получаются и обрабатываются на основании письменного согласия работника на обработку его персональных данных. Обычно оно оформляется в форме заявления, в котором дается согласие на использование сведений (содержащих фамилию, имя, отчество; вид и номер основного документа, удостоверяющего личность; сведения о дате выдачи указанного документа и выдавшем его органе; адрес субъекта персональных данных, наименование и адрес организации, получающей согласие субъекта персональных данных; цель обработки персональных данных; перечень действий с персональными данными, на обработку которых дается согласие; общее описание используемых в организации способов обработки персональных данных; срок, в течение которого действует согласие и порядок его отзыва). Можно в организации составить трафаретный текст такого заявления.
Отдельным пунктом положения о персональных данных обязательно перечисляется, в каких случаях не требуется согласия работника на обработку его персональных данных. В положении оговариваются также порядок передачи персональных данных, способ их хранения и защиты.
П
ерсональные данные сегодня почти повсеместно хранятся как на бумажных, так и на электронных носителях. Независимо от носителя они подлежат защите как конфиденциальная информация с ограниченным доступом (на бумажных носителях – в закрытых шкафах и сейфах, на электронных – при помощи встроенных механизмов безопасности, используемого программного обеспечения и дополнительных аппаратно-программных средств).В разделе «Доступ к персональным данным» оговаривается порядок доступа к ним работника организации, третьих лиц по доверенности работника, других организаций. Например, в установленном порядке данные передаются в органы Пенсионного фонда, органы социального обеспечения, контрольно-надзорным и правоохранительным органам. С письменного согласия работника его персональные данные могут быть представлены родственникам и членам семьи работника, а страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам персональные данные предоставляются при наличии не только письменного согласия работника, но и копии договора этих организаций с работником. Как приложение или отдельным пунктом в положении перечисляются должностные лица организации, имеющие право доступа к персональным данным, например директор, аппарат дирекции, сотрудники бухгалтерии, сотрудники управления безопасности и режима, сотрудники службы кадров, руководители подразделения, в подчинении которых находится работник, и т.д. Заканчивается положение разделом об ответственности за нарушение норм, регулирующих обработку персональных данных.
Положение о работе с персональными данными является локальным нормативным актом организации, обязательным для исполнения всеми работниками, оно утверждается руководителем организации или приказом.
Обычно положение о работе с персональными данными разрабатывается руководителем службы кадров совместно с руководителем IT-службы, обеспечивающей защиту персональных данных в электронной форме.
"Трудовое право", 2011, N 5