Особенности регулирования трудовых отношений в сфере защиты персональных данных работника в РФ

- регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (на пример, в вечерние часы, выходные дни и др.);

- организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информирования и сиг нализирования; определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время;

- организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них;

- организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений;

- организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей.

Безопасность информации в ЭВМ и локальной сети требует эффективной взаимосвязи машинной и внемашинной защиты конфиденциальных сведений. В связи с этим, важное актуальное значение имеет защита технических носителей конфиденциальной информации (машиночитаемых документов) на внемашинных стадиях их учета, обработки и хранения. Именно на этих стадиях особенно велика вероятность утраты машиночитаемо го документа. Подобная проблема несущественна для носителей, содержащих открытую информацию. В основе обеспечения сохранности носителей электронных конфиденциальных документов, находящихся вне машины, в настоящее время эффективно используются зарекомендовавшие себя принципы и методы обеспечения безопасности документов в традиционной технологической системе.

Перед началом обработки информации на ЭВМ сотрудник обязан убедиться в отсутствии в помещении посторонних лиц. При подходе такого лица к сотруднику экран дисплея дол жен быть немедленно погашен.

В конце рабочего дня исполнители обязаны перенести всю конфиденциальную информацию из компьютера на гибкие носители информации, стереть информацию с жестких дисков, проверить наличие всех конфиденциальных документов (на бумажных, магнитных и иных носителях), убедиться в их комплектности и сдать в службу КД. Оставлять конфиденциальные документы на рабочем месте не разрешается. Не допускается также хранение на рабочем месте исполнителя копий конфиденциальных документов.

Лицам, имеющим доступ к работе на ЭВМ, запрещается:

- разглашать сведения о характере автоматизированной обработки конфиденциальной информации и содержании используемой для этого документации,

- знакомиться с изображениями дисплея рядом работающих сотрудников или пользоваться их магнитными носителями без разрешения руководителя подразделения,

- разглашать сведения о личных паролях, используемых при идентификации и защите массивов информации,

- оставлять магнитные носители конфиденциальной информации без контроля, принимать или передавать их без росписи в учет ной форме, оставлять ЭВМ с загруженной памятью бесконтрольно,

- пользоваться неучтенными магнитными носителями, создавать неучтенные копии документов.

После изготовления бумажного варианта документа его электронная копия стирается, если она не прилагается к документу или не сохраняется в справочных целях. Отметки об уничтожении электронной копии вносятся в учетные карточки документа и носителя и заверяются двумя росписями.

Хранение магнитных носителей и электронных документов должно осуществляться в условиях, исключающих возможность их хищения, приведения в негодность или уничтожения содержащейся в них информации, а также в соответствии с техническими условиями завода-изготовителя. Носители хранятся в вертикальном положении в специальных ячейках металлического шкафа или сейфа. Номера на ячейках должны соответствовать учетным номерам носителей. Недопустимо воздействие на носители теплового, ультрафиолетового и магнитного излучений.

Магнитные носители, содержащие конфиденциальную информацию, утратившую свое практическое значение, уничтожаются по акту с последующей отметкой в учетных фор мах.

С целью контроля и поддержания режима при обработке информации на ЭВМ необходимо:

- периодически проводить проверки наличия электронных документов и состава баз данных,

- проверять порядок ведения учета, хранения и обращения с магнитными носителями и электронными документами,

- систематически проводить воспитательную работу с персоналом, осуществляющим обработку конфиденциальной информации на ЭВМ,

- реально поддерживать персональную ответственность руководителей и сотрудников за соблюдение требований работы с конфиденциальной информацией на ЭВМ,

- осуществлять действия по максимальному ограничению круга сотрудников, допускаемых к обрабатываемой на ЭВМ конфиденциальной информации и праву входа в помещения, в которых располагаются компьютеры, для обработки этой информации.

2.5 Контроль защиты информации

Взаимопонимание между руководством фирмы и работниками не означает полной свободы в организации рабочих процессов и желании выполнять или не выполнять требования по защите конфиденциальной информации. С этой целью руководителям всех рангов и службе безопасности следует организовать регулярное наблюдение за работой персонала в части соблюдения ими требований по защите информации.

Основными формами контроля могут быть:

- аттестация работников;

- отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации;

- регулярные проверки руководством фирмы и службой безопасности соблюдения работниками требований по защите информации;

- самоконтроль.

Аттестация работников представляется одной из наиболее действенных форм контроля их деятельности как в профессиональной сфере (исполнительность, ответственность, качество и эффективность выполняемой работы, профессиональный кругозор, организаторские способности, преданность делу организации и т. д.), так и в сфере соблюдения информационной безопасности фирмы.

В части соблюдения требований по защите информации проверяется знание работником соответствующих нормативных и инструктивных документов, умение применять требования этих документов в практической деятельности, отсутствие нарушений в работе с конфиденциальными документами, умение общаться с посторонними лицами, не раскрывая секретов фирмы и т.д.

По результатам аттестации издается приказ (распоряжение), в котором отражаются решения аттестационной комиссии о поощрении, переаттестации, повышении в должности или увольнении сотрудников. Аттестационная комиссия может также выносить определение об отстранении сотрудника от работы с информацией и документами, составляющими секреты фирмы.

Другой формой контроля является заслушивание руководителей структурных подразделений и руководителя службы безопасности на совещании у первого руководителя фирмы о состоянии системы защиты информации и вы полнении ее требований работниками подразделений. Одновременно на совещании принимаются решения по фактам нарушения работниками установленных правил защиты секретов фирмы.

Формой контроля являются также регулярные проверки выполнения сотрудниками (в том числе хорошо работающими) правил работы с конфиденциальной информацией, документами и базами данных.

Проверки проводятся руководителями структурных подразделений и направлений, заместителями первого руководите ля и работниками службы безопасности.

Проверки могут быть плановыми и внеплановыми (внезапными). Внезапные проверки проводятся при возникновении малейшего подозрения о разглашении или утечке информации.

Самоконтроль состоит в проверке самими руководителями и исполнителями полноты и правильности выполнения ими действующих инструктивных положений, а также в немедленном информировании службы безопасности и непосредственного руководителя о фактах утери документов, утрате по какой-либо причине ценной информации, разглашении лично или другими сотрудниками сведений, составляющих секреты фирмы, нарушении работниками порядка защиты информации.

При работе с персоналом фирмы следует сосредоточивать внимание не только на сотрудниках, работающих с конфиденциальной информацией. Под контролем должны находиться также лица, не имеющие доступа к секретам фирмы. Следует учитывать, что эти работники могут быть посредниками в действиях злоумышленника: в проведении электронного шпионажа, создании условий для хищения документов, снятии с них копий и т.п.

Кроме того, необходимо помнить, что работники, владеющие конфиденциальной информацией, вынуждены действовать в рамках требований, регламентированных инструкцией по обеспечению режима конфиденциальности. Ограничение свободы человека в использовании информации может приводить к стрессам, нервным срывам. Сохранение чего-то в тайне противоречит потребности чело века в общении путем обмена информацией. В связи с этим особенно важно, что бы психологический настрой коллектива и отдельных работников всегда находился в центре внимания руководства фирмы и службы безопасности.

В случае установления фактов невыполнения любым из руководителей или работников требований по защите ин формации к ним в обязательном порядке должны применяться меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка. Важно, чтобы наказание было неотвратимым и своевременным, невзирая на должностной уровень работника и его взаимоотношения с руководством фирмы.

Одновременно с виновным лицом ответственность за разглашение сведений, составляющих секреты фирмы, несут руководители фирмы и ее структурных под разделений, направлений деятельности, филиалов, т.к. они полностью отвечают за разработку и реализацию мер, обеспечивающих информационную безопасность всех видов деятельности фирмы.

Информационная база для контроля работы персонала, владеющего конфиденциальной информацией, формируется на основе анализа степени осведомленности работников в секретах фирмы. Эта работа входит в состав комплексного аналитического исследования по поиску и обнаружению каналов утраты персона лом конфиденциальной информации.

Объектами комплексного аналитического исследования являются: выявление, классификация и постоянное изучение источников и объективных каналов распространения конфиденциальной информации, а также обнаружение и анализ степени опасности источников угрозы информации. Важен превентивный контроль безопасности ценной информации.

Одновременно подлежат специальному (экстремальному) учету все замеченные несанкционированные или ошибочные действия персонала с документами и информацией, нарушения системы доступа к информации и правил работы с конфиденциальными документами и базами электронных данных. Подобные факты подлежат оперативному, тщательному сравнительному анализу, а результаты анализа должны докладываться непосредственно первому руководителю фирмы.

В целях превентивного контроля рекомендуются следующие учетные и аналитические действия по отношению к персоналу, который обладает или может обладать конфиденциальной информацией:

- анализ реального состава известной персоналу конфиденциальной информации и динамики ее распределения по структурным подразделениям фирмы;

- анализ степени владения конфиденциальной информацией руководством фирмы, руководителями структурных под разделений, направлений деятельности и каждым работником, т.е. учет уровня и динамики их реальной осведомленности в секретах фирмы;

- анализ выявленных потенциальных и реальных источников угрозы персоналу в целом и каждому отдельному работнику с целью завладеть ценной информацией фирмы (конкурентов, соперников, криминальных структур и отдельных преступных элементов);

- анализ эффективности защитных мер, предпринятых по отношению к персоналу, их действенности в обычных условиях и при активных действиях злоумышленника.

Своевременный учет состава конфиденциальной информации, известной каждому из работников фирмы, является наиболее информативной частью аналитической работы в целом. Учитываются любые контакты любого работника фирмы с конфиденциальными сведениями, как санкционированные, так и случайные (ошибочные). Подлежит также учету вы явленное несанкционированное ознакомление с информацией, к которой работник не имел разрешения на доступ, в том числе несанкционированное ознакомление с информацией работника, во обще не имеющего допуска для работы с конфиденциальной информацией.

Для учета и последующего анализа степени осведомленности работников в секретах фирмы ведется специальная учетная форма.

Традиционная (карточная) или электронная учетная форма должна содержать ряд предметных зон, позволяющих сопоставлять функциональные обязанности сотрудника и состав конфиденциальной информации, полученной сотрудником, и который должен соответствовать выполняемым видам работы. Целесообразно включить в учетную форму следующие зоны:

- зона штатных функциональных обязанностей работника, при реализации которых используется конфиденциальная информация (по утвержденной должностной инструкции);

- зона изменений и дополнений, внесенных в функциональные обязанности работника, с указанием документа-основания, его даты и фамилии руководителя, подписавшего документ;

- зона стандартного состава конфиденциальные сведений или их индексов, по перечню конфиденциальной информации фирмы, к которым допущен работник в соответствии с должностной инструкцией (с указанием наименования документа о допуске, его даты, номера и фамилии руководителя, подписавшего документ);

- зона изменений и дополнений в составе конфиденциальных сведений, к которым допускается работник в связи с пересмотром его должностных обязанностей (с указанием наименований и дат документов о допуске, фамилий руководителей, подписавших документы);

- зона документированной информации (документов), с которой знакомится или работает сотрудник, с указанием наименований документов, их дат и номеров, краткого содержания, целевого использования содержащихся в документах конфиденциальных сведений или их индексов по перечню, фамилий руководителей, разрешивших работу с документами;

- зона недокументированной конфиденциальной информации, которая стала известна работнику, с указанием даты и цели ознакомления, фамилии руководи теля, разрешившего ознакомление, со става конфиденциальных сведений или их индексов по перечню;

- зона обнаруженного несанкционированного ознакомления работника с конфиденциальной информацией с указанием даты ознакомления, условий или причин ознакомления, фамилии виновного работника, места ознакомления, со става конфиденциальных сведений или их индексов по перечню.

Анализ осуществляется сравнением содержания записей в зонах и индексов известной сотруднику конфиденциальной информации, т.е. ведется поиск не соответствия.

По фактам разглашения или утечки конфиденциальной информации, утраты документов и изделий, другим грубым нарушениям правил защиты информации организуется служебное расследование.

Служебное расследование проводит специальная комиссия, формируемая приказом первого руководителя фирмы. Расследование предназначено для выяснения причин, всех обстоятельств и их последствий, связанных с конкретным фактом, установления круга виновных лиц, размера причиненного фирме ущерба. По результатам расследования даются рекомендации по устранению причин случившегося.

План проведения служебного рас следования:

- определение возможных версий случившегося (утрата, хищение, уничтожение по неосторожности, умышленная передача сведений, неосторожное разглашение и т.д.);

- определение (планирование) конкретных мероприятий по проверке версий (осмотр помещений, полистная проверка документации, опрос сотрудников, взятие письменного объяснения у подозреваемого лица и т. д.);

- назначение ответственных лиц за проведение каждого мероприятия;

- указание сроков проведения каждого мероприятия;

- определение порядка документирования;

- обобщение и анализ выполненных действий по всем мероприятиям;

- установление причин утраты информации, виновных лиц, вида и объема ущерба;

- передача материалов служебного рас следования с заключительными вывода ми первому руководителю фирмы для принятия решения.

При проведении служебного расследования все мероприятия обязательно документируются в целях последующего комплексного анализа выявленного факта. Обычно анализируются следующие виды документов:

- письменные объяснения опрашиваемых лиц, составляемые в произвольной форме;

- акты проверки документации и помещений, где указываются фамилии проводивших проверку, их должности, объем и виды проведенного осмотра, результаты, указываются подписи этих лиц и дата;

- другие документы, относящиеся к расследованию (справки, заявления, планы, анонимные письма и т. д.).

Служебное расследование проводится в кратчайшие сроки. По результатам анализа составляется заключение о результатах проведенного служебного рас следования, в котором подробно описывается проведенная работа, указываются причины и условия случившегося и полный анализ происшедшего.

2.6 Правовые аспекты применения полиграфа

В настоящее время в России использование полиграфа законом не запрещено. Получение лицензии на его приобретение и использование не требуется.

Имеются различные ведомственные корпоративные акты, регламенты, инструкции, касающиеся применения полиграфа. При этом прямое законодательное регулирование использования полиграфа в деятельности государственных и коммерческих структур отсутствует. Однако анализ российского законодательства дает повод утверждать о наличии серьезных и правомочных оснований использования полиграфа в частном секторе. Можно уверенно констатировать, что сегодня не существует каких-либо правовых барьеров для широкого применения проверок на полиграфе в интересах кадрового отбора.

Согласно ныне действующему Трудовому кодексу РФ, работодатель имеет право вводить ограничения или делать предпочтение при приеме на работу, исходя из требований, свойственных определенному виду труда или служебной деятельности.

Кроме этого Трудовой кодекс РФ предоставляет право работодателю собирать персональные данные работника - информацию, касающуюся конкретного работника и необходимую работодателю в связи с трудовыми отношениями (Глава 14, ст. 85-90). В этой же главе впервые вводится понятие персональных данных работника, дается определение процедурам обработки данных (ст. 85 ТК РФ): «Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных работника - получение, хранение, комбинирование, передача или любое другое использование персональных данных работника». Сюда же можно отнести и данные, полученные с помощью тестирования на полиграфе.

В ст. 86 ТК РФ (п.п.1, 3, 4, 5, 8) установлены ограничения в постановке вопросов, касающихся политических, религиозных убеждений, частной жизни, ответы на которые работодатель получает с помощью обработки персональных данных. Трудовой кодекс РФ предусматривает добровольность предоставления работником таких данных, ознакомление с ними, письменное согласие на передачу таких данных работодателю, запрещение получать такие данные через третьих лиц без письменного согласия работника.

Получение персональных данных работника, как это явствует из статей Трудового кодекса РФ, осуществляется от него самого, и необходимо работодателю для решения вопросов о «трудоустройстве, продвижении по службе, обеспечения личной безопасности работников, обеспечения сохранности имущества».

Согласно комментарию к новому Трудовому кодексу РФ, метод тестирования (которым, по сути, и является проверка на полиграфе), признается одним из современных методов организации подбора и расстановки кадров (глава 11 ТК РФ «Заключение трудового договора»). Поэтому, в должном соответствии с Трудовым кодексом является включение в Трудовой договор положения о том, что работник «обязан активно содействовать проводимым работодателем служебным разбирательствам и, в случае необходимости, проходить опрос с использованием полиграфа». Итак, внесение указанных выше положений в трудовые договоры и локальные правовые нормативные акты делают применение полиграфа государственными и негосударственными пользователями вполне легитимным в рамках действующего отечественного законодательства. В связи с этим вопрос - «Применять или не применять полиграф при работе с кадрами?» - носит уже не столько правовой, сколько эмоциональный характер.

Полиграф является, согласно действующему Трудовому кодексу РФ, законным при соблюдении определенных норм. Согласно этим нормам, проведение опроса на полиграфе - акт сугубо добровольный, и никто не вправе насильно заставить человека проходить его. Перед началом проверки на полиграфе тестируемый должен дать свое письменное согласие на это. К тому же следует использовать только те приборы, которые имеют соответствующий сертификат и не наносят ущерба здоровью и психологическому состоянию обследуемых, кроме этого важно привлекать к работе на полиграфе только обученных специалистов. И еще раз надо подчеркнуть: опрашиваемые обязательно должны быть ознакомлены со своими правами перед началом обследования.

Основная идея, положенная в основу работы полиграфа, заключается в том, что наше сознание изначально запрограммировано на правду, только правду и ничего, кроме правды. Именно поэтому когда мы лжем, возникает эмоциональный дискомфорт (стресс), который выражается в определенных физиологических реакциях, которые можно фиксировать и объективно измерять в связи с тем, что сознательный контроль вегетативных функций, связанных с переживанием тех или иных эмоций большей частью невозможен.

Любая жизненно важная для человека информация - «убил - не убил», «украл - не украл», «принимал наркотики - не принимал» и так далее - всегда откладывается в его памяти. Поэтому «мишенью» для полиграфа является память опрашиваемого лица.

Задача полиграфа сводится к тому, что бы определить владеет ли обследуемой определенной информацией или нет. При этом, чем важнее для человека какая-либо информация, тем больше его стресс при попытке эту информацию скрыть.

Понятно, что полиграф эффективен только в том случае, если испытуемый осознает возможность разоблачения - это как раз и создает тот самый стресс, контролировать который человек не может и на который реагирует прибор.

Подводя итог данной главе, хотелось бы отметить, что нормы главы 14 ТК РФ, обязывающие работодателя создать и ввести в действие положение о защите персональных данных работника, действуют уже более четырех лет, но, несмотря на это, многие работодатели сталкиваются с трудностями при создании данного локального нормативного акта. Данный локальный акт должен содержать:

  Положение о защите персональных данных работников.

  Расписку об ознакомлении работника с Положением о защите персональных данных.

  Обязательство о неразглашении персональных данных работников.

  Письменное согласие работника на получение его персональных данных у третьих лиц.

  Уведомление.

  Согласие работника на обработку его персональных данных.

  Запрос о доступе работника к своим персональным данным.

  Уведомление об уничтожении, (изменении, прекращении обработки, устранении нарушений персональных данных).

3. Персональные данные работников: охраняем и защищаем

Работодатель обязан обеспечить сохранность персональных данных работников. Т.е. сведения, составляющие такие данные, должны быть защищены от утери, использования в незаконных целях или ненадлежащими субъектами. Более того, работники должны точно знать, какие меры принимает работодатель для защиты их персональных данных. К тому же если эти сведения обрабатываются в информационных системах, то будут действовать особые правила. Давайте посмотрим, что должен сделать работодатель, чтобы надлежащим образом защитить информацию о работниках.

О составе и категориях персональных данных, а также об особенностях их обработки мы говорили в предыдущих номерах «Справочника кадровика». Сегодня остановимся на обязанностях работодателя по обеспечению защиты информации, составляющей персональные данные работников.

Итак, установление режима конфиденциальности персональных данных требует принятия их оператором (работодателем) ряда мер: правовых, организационных и технических.

3.1 Принимаемые меры защиты

Согласно ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в т. ч. использовать шифровальные (криптографические) средства для защиты данных от неправомерных действий. При этом Закон не раскрывает содержания мер защиты персональных данных. Ясно только, что цель таких мер - защита от неправомерного или случайного доступа к информации.

Правовые, организационные и технические меры, которые работодатель должен принимать для защиты персональных данных, представлены в таблице.

Табл. 2. Меры защиты персональных данных

В первую очередь (и это прямо предусмотрено законом) работодатель обязан разработать и утвердить локальный нормативный акт, устанавливающий порядок обработки персональных данных, меры и способы защиты этих сведений от утери и несанкционированного использования.

В компанию, занимающуюся оптово-розничной торговлей, пришел новый начальник отдела кадров. Принимая дела, он провел внутренний аудит всех кадровых документов, включая локальные нормативные акты, которые должны быть в каждой компании. Выяснилось, что никакого документа, регламентирующего порядок обработки и защиты пересданных в организации нет. Чтобы исправить это упущение, решено было срочно утвердить такой документ. Разработали текст, а дальше встал вопрос: нужно ли при утверждении локального нормативного акта, устанавливающего порядок обработки и способы защиты персональных данных, учитывать мнение представительного органа работников.

Общее правило приведено в ч. 2 ст. 8 ТК РФ: в случаях, предусмотренных ТК РФ, другими федеральными законами и иными нормативными правовыми актами РФ, коллективным договором, соглашениями, работодатель, принимая локальный нормативный акт, обязан учитывать мнение представительного органа работников (при наличии такого органа). При этом Кодекс прямо не предусматривает такую обязанность работодателя в случае принятия локального нормативного акта о порядке обработки персональных данных, и можно сделать вывод, что учет представительного органа работников в этой ситуации не требуется.

В то же время - наряду с установленной Законом о персональных данных обязанностью оператора принимать необходимые меры по защите персональных данных - п. 10 ст. 86 ТК РФ содержит требование совместной разработки таких мер работодателями, работниками и их представителями. А вот что означает такая «совместная разработка мер» - не вполне ясно. Полагаем, что в целях соблюдения интересов работников и с учетом положения п. 10 ст. 86 ТК РФ локальный нормативный акт, регламентирующий в т. ч. защиту персональных данных, стоит принимать с учетом мнения представительного органа работников (при его наличии).

Процедура принятия локального нормативного акта о защите персональных данных работников и порядок выработки мер такой защиты могут быть предусмотрены в коллективном договоре или другом локальном нормативном акте, например в Инструкции по делопроизводству.

Закон содержит требование об обязательном ознакомлении работников и их представителей под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также их права и обязанности в этой области (п. 8 ст. 86 ТК РФ). Ваша задача не только выполнить данную обязанность, но и обеспечить документальное подтверждение того, что все работники под роспись ознакомлены с документами, устанавливающими порядок обработки персональных данных, а также их права и обязанности в этой области.

Требования к защите персональных данных различаются в зависимости от того, обрабатываются персональные данные в информационных системах или вне таковых, с использованием средств автоматизации или без них.

3.2 Оформление и утверждение Положения о защите персональных данных

Унифицированная форма такого локального нормативного акта, как Положение о защите персональных данных, нормативными актами не предусмотрена, и документ составляется в произвольной текстовой форме. Конечно, при этом должны соблюдаться общие правила оформления документов. Определим их.

Правило 1. Локальный нормативный акт о защите персональных данных оформляется на бланке работодателя, где указываются:

* наименование работодателя;

* место составления документа;

* наименование вида документа (Положение);

* заголовок к тексту (о защите персональных данных).

Правило 2. Мнение представительного органа работников (если он есть) учитывается в порядке, установленном ст. 372 ТК РФ для принятия локальных нормативных актов.

Работодатель направляет в представительный орган работников проект Положения и обоснование по нему. Представительный орган работников в течение пяти рабочих дней составляет письменное мотивированное мнение по проекту. На проекте Положения оформляется отметка об учете мнения.

Правило 3. Положение утверждается руководителем организации или иным уполномоченным на это должностным лицом путем издания отдельного приказа или оформления грифа утверждения на самом документе.

Правило 4. С Положением о защите персональных данных работники должны быть ознакомлены под роспись.

Для лиц, принимаемых на работу, действуют специальные правила ознакомления: они знакомятся с локальными нормативными актами работодателя, непосредственно связанными с их трудовой деятельностью, в т. ч. с Положением о защите персональных данных, до подписания трудового договора (ч. 3 ст. 68 ТК РФ).

3.3 Защита персональных данных в информационных системах

Особенности защиты персональных данных при их обработке в информационных системах устанавливаются Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 17.11.2007 № 781 (далее - Положение о безопасности персональных данных в информационных системах), и Положением о методах и способах защиты информации в информационных системах персональных данных, утв. приказом ФСТЭК России от 05.02.2010 № 58. Требования указанных Положений должны быть соблюдены работодателем при организации защиты персональных данных в информационных системах.

В нашей компании обработка персональных данных производится в информационной системе. Правда, до недавних пор мы особо о защите таких сведений не заботились, но после ряда публикаций в «Справочнике кадровика» решили навести порядок и в этом вопросе. Понятно, что самостоятельно мы это не сделаем, нужна помощь «айтишни-ков», а они только руками разводят и говорят: объясните конкретно, чего хотите. Что нам нужно сделать, чтобы обязанность по защите персональных данных работников при их обработке в информационной системе была выполнена?

При обработке персональных данных работников в информационной системе работодатель должен обеспечить: :

1) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

2) своевременное обнаружение фактов несанкционированного доступа к персональным данным; .

3) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование; .

4) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; .

5) постоянный контроль за уровнем защищенности персональных данных.

Поэтому, чтобы обеспечить безопасность персональных данных работников при их обработке в информационных системах, нужно выполнить следующие действия.

Шаг 1. Определить угрозы безопасности персональных данных при их обработке и сформировать на их основе соответствующие модели.

Шаг 2. Разработать на основе модели угроз систему защиты персональных данных, обеспечивающую нейтрализацию предполагаемых угроз, с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем.

Шаг 3. Проверить готовность средств защиты информации к использованию с составлением заключений о возможности их эксплуатации.

Шаг 4. Установить и ввести в эксплуатацию средства защиты информации в соответствии с эксплуатационной и технической документацией.

Шаг 5. Обучить лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними.

Шаг 6. Учитывать применяемые средства защиты информации, эксплуатационную и техническую документацию к ним, носители персональных данных.

Шаг 7. Учитывать лиц, допущенных к работе с персональными данными в информационной системе.

Шаг 8. Контролировать соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.

Шаг 9. Составлять заключения по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности данных или другим нарушениям, приводящим к снижению уровня защищенности данных. Разрабатывать и принимать меры по предотвращению возможных опасных последствий подобных нарушений.

Шаг 10. Описать систему защиты персональных данных.

Обратите внимание: согласно п. 19 Положения о безопасности персональных данных в информационных системах к средствам защиты персональных данных в таких системах должны прилагаться правила пользования указанными средствами.

3.4 Защита персональных данных при автоматической обработке

Статья 16 Закона о персональных данных запрещает принятие решений только на основании автоматизированной обработки персональных данных

В действующем законодательстве определение понятия автоматизированной обработки персональных данных отсутствует. Конвенция Совета Европы «О защите физических лиц в отношении автоматизированной обработки персональных данных» закрепляет, что автоматизированная обработка включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, выполнение логических и(или) арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение.

По общему правилу при принятии управленческих решений следует руководствоваться данными, полученными в результате как автоматизированной, так и неавтоматизированной обработки.

Подобное требование содержится в п. 6 ст. 86 ТК РФ: при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Других норм относительно автоматизированной обработки персональных данных работника в ТК РФ не содержится. Поэтому следует руководствоваться Законом о персональных данных, который в порядке исключения позволяет принимать решения только на основании автоматизированной обработки персональных данных при наличии письменного согласия работника.

При приеме на работу от каждого нового сотрудника мы получаем письменное согласие на автоматизированную обработку его персональных данных. Однако наши юристы говорят, что в случае, когда какое-либо решение руководства принимается на основании исключительно автоматизированной обработки персональных данных работника, этого недостаточно. Якобы в данном случае действуют особые правила.

Действительно, при принятии решений на основании исключительно автоматизированной обработки персональных данных, помимо получения письменного согласия работника, должны соблюдаться следующие правила.

Правило 1. Работодатель обязан разъяснить работнику порядок принятия и возможные последствия такого решения, а также порядок защиты работником своих прав и законных интересов (п. 3 ст. 16 Закона о персональных данных).

Правило 2. Работодатель обязан предоставить работнику возможность заявить возражение против такого решения и рассмотреть это возражение в течение семи дней со дня его получения с обязательным уведомлением работника о результатах рассмотрения (п. 4 ст. 16 Закона о персональных данных).

Следует обратить внимание, что Законом не регламентирована форма разъяснения, указанного в п. 3 ст. 16. Возможны два варианта проведения таких разъяснений.

Вариант 1. Разъяснение дается работнику устно. При этом в письменное согласие включается графа: «Мне разъяснен порядок принятия решения на основании автоматизированной обработки моих персональных данных, возможные юридические последствия такого решения и порядок защиты моих прав и законных интересов».

Вариант 2. Все разъяснения излагаются в письменной форме в виде отдельного уведомления либо включаются в текст согласия работника на автоматизированную обработку персональных данных.

Полагаем, что при втором варианте в текст уведомления или согласия следует включить графу о возражении работника против принятия решения на основании автоматизированной обработки данных.

3.5 Защита персональных данных без использования средств автоматизации

Особенности обработки персональных данных без использования средств автоматизации регламентируются постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Неавтоматизированная обработка персональных данных предполагает, что использование, уточнение, распространение и уничтожение персональных данных осуществляется при непосредственном участии человека

Из содержания указанного Положения следует, что особенности и правила обработки персональных данных без средств автоматизации, а также категории обрабатываемых персональных данных могут быть установлены как нормативными правовыми актами органов исполнительной власти РФ и ее субъектов, так и локальными нормативными актами организации. Лица, осуществляющие неавтоматизированную обработку персональных данных, должны быть проинформированы о такой обработке и ознакомлены с названными актами.

Предварительно персональные данные могут быть извлечены из информационной системы, а могут и оставаться в ней. Причем нахождение персональных данных в информационной системе или изъятие из нее при непосредственном участии человека в их обработке не означает автоматизированную обработку персональных данных.

Положение предусматривает, что при неавтоматизированной обработке персональные данные должны обособляться от иной информации. Такое обособление происходит посредством фиксации на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых несовместимы.

Например, нельзя фиксировать на одном материальном носителе два вида персональных данных, при том, что целью обработки одних является передача третьим лицам, а других - предоставление льгот, предусмотренных законодательством (например, данные об инвалидности, донорстве и т. д.).

Отдельно в Положении регламентируется использование типовых форм документов, в которые предполагается или допускается включение персональных данных. Условия использования типовых форм при неавтоматизированной обработке персональных данных следующие.

Условие 1. Должны соблюдаться требования к содержанию типовой формы и связанных с ней документов (инструкции по ее заполнению, карточек, реестров и журналов). В типовую форму и связанные с ней документы должны быть включены сведения:

1) об операторе персональных данных - работодателе: Ф.И.О. или наименование и адрес;

2) о субъекте персональных данных - о работнике: фамилия, имя, отчество, адрес;

3) о цели неавтоматизированной обработки персональных данных;

4) об источнике получения персональных данных;

5) о сроках обработки персональных данных;

6) о перечне действий с персональными данными, которые будут совершаться в процессе их обработки, и общее описание используемых работодателем способов обработки персональных данных.

Условие 2. Если на обработку персональных данных требуется письменное согласие работника, то в типовой форме должно быть предусмотрено поле, где работник может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации.

Условие 3. При ознакомлении работника с его персональными данными, содержащимися в типовой форме, не допускается ознакомление с данными других работников. Поэтому типовая форма должна исключать возможность нарушения чужих прав и законных интересов.

Условие 4. Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

В нашей организации нет пропускной системы - всех работников вахтер знает, что называется, «в лицо». А вот с посторонними -проблема. Дело в том, что в течение дня в разные подразделения приходят граждане для решения рабочих вопросов. Мы планируем ввести учет сведений о посетителях, которые получают однократный доступ в офисные помещения. Хотим разработать журнал учета посетителей и поручить вахтеру его вести. Что нужно предусмотреть, чтобы не нарушить законодательство о защите персональных данных

Если работодатель ведет журналы, реестры или книги по осуществлению однократного доступа на территорию организации, то должны соблюдаться следующие правила их ведения.

Правило 1. Необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена локальным нормативным актом и (или) организационно-распорядительным документом, который должен содержать:

* сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации ;

* состав информации, запрашиваемой у субъектов персональных данных, и способ ее фиксации ;

* перечень лиц, имеющих доступ к материальным носителям;

* перечень лиц, ответственных за ведение и сохранность журнала (реестра, книги);

* сроки обработки персональных данных.

Правило 2. Не допускается копирование информации, содержащейся в таких журналах (реестрах, книгах).

На практике ряд персональных данных накапливается еще до возникновения трудовых отношений, на этапе подбора персонала.

3.6 Защита персональных данных будущих работников

Независимо от того, возникнут или нет впоследствии трудовые отношения с претендентами на работу, работодатель должен соблюдать требования законодательства о защите персональных данных. В связи с тем, что гл. 14 ТК РФ направлена на регулирование отношений по защите персональных данных именно в трудовых отношениях, применительно к претендентам на работу необходимо руководствоваться положениями Закона о персональных данных.

Поскольку лицо, претендующее на заключение трудового договора, еще не является работником, то при обработке персональных данных в целях оценки соответствия претендента на работу предъявляемым требованиям необходимо получить его согласие на обработку. Закон не предусматривает обязательного письменного согласия на обработку в данном случае. Однако если получаемые данные относятся к специальной категории или к биометрическим данным, а также если полученные данные подлежат передаче через государственную границу РФ при трансграничной передаче, то оформление согласия в письменной форме необходимо.

Опираясь на п. 2 ст. 5 Закона о персональных данных, в случае отказа в заключении трудового договора претенденту на работу все полученные от него персональные данные должны быть уничтожены, так как цель их обработки достигнута.

Кодекс практики Международной организации труда по защите персональных данных допускает сохранение персональных данных, если работник желает оставаться в списке соискателей потенциальной работы в течение определенного периода времени.

Другой момент, связанный с подбором персонала и обработкой персональных данных, - это проверка полученных рекомендаций, характеристик, установление контакта с прежним работодателем.

3.7 Получение персональных данных от третьих лиц

Согласно п. 3 ст. 86 ТК РФ все персональные данные работника следует получать у него самого. Если персональные данные работника можно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее, при условии наличия его письменного согласия .

Ни ТК РФ, ни Закон о персональных данных не устанавливают формы такого уведомления, закрепляя требования к его содержанию. Несмотря на то что Закон о персональных данных прямо не устанавливает требования о согласии субъекта на получение персональных данных от третьих лиц, данное требование вытекает из п. 1 ст. 6 Закона: обработка персональных данных включает любые действия с персональными данными, в т. ч. их получение.

Перечисленные в таблице требования дополняют друг друга, в связи с чем, независимо от времени возникновения необходимости получения персональных данных от третьих лиц (до возникновения трудового отношения или в процессе трудового отношения), уведомление должно осуществляться в письменной форме и содержать все вышеперечисленные требования.

Табл. 3. Условия получения персональных данных от третьих лиц

Следует обратить внимание и на формулировку последствий отказа дать согласие на получение персональных данных: такая формулировка должна иметь правовое основание, а именно ссылку на соответствующую норму права. Однако определение такого правового основания затруднительно в случае желания потенциального работодателя установить достоверность каких-либо фактов, касающихся претендента на работу.

Если при заключении трудового договора работодатель желает удостовериться в подлинности документов об образовании и правомерности их выдачи, то для получения ответа на запрос, направленный в образовательное учреждение, выдавшее соответствующий документ, необходимо иметь письменное согласие субъекта персональных данных. Очевидно, что в случает отказа предоставить такое согласие отсутствуют правовые основания для отказа в заключении трудового договора (при условии соблюдения требований ст. 64 и 65 ТК РФ).

3.8 Защита персональных данных лиц, не являющихся работниками организации

Отметим, что ТК РФ регламентирует обработку только персональных данных работников, в то время как в процессе деятельности организации в ней могут накапливаться персональные данные лиц, не являющихся работниками, к которым получают доступ сотрудники организации. Часть таких сведений можно отнести к режиму коммерческой тайны, например информацию о клиентах (клиентскую базу). Сведения о клиентах могут также сохраняться в режиме аудиторской, налоговой, нотариальной тайны. Сведения о пациентах защищаются в режиме врачебной тайны.

Однако не все персональные данные лиц, не являющихся работниками организации, могут быть сохранены в режиме какой-либо тайны, что не исключает необходимость обеспечить защиту таких сведений.

Например, работники отдела кадров, бухгалтеры, секретари получают доступ к различным категориям персональных данных. Между тем законодательство не предусматривает обязанности хранить кадровую, бухгалтерскую или секретарскую тайну. Однако в соответствии со ст. 7 Закона о персональных данных операторы и третьи лица, получившие доступ к персональным данным, должны обеспечивать конфиденциальность таких данных. Поэтому включение в трудовые договоры таких работников условия о сохранении конфиденциальности персональных данных необходимо.

Принимая во внимание тот факт, что увольнение работника по основанию, предусмотренному подп. «в» п. 6 ч. 1 ст. 81 ТК РФ, возможно только за разглашение персональных данных другого работника, следует установить режим какой-либо тайны в отношении персональных данных других лиц: служебной, коммерческой или иной.

Если персональные данные лиц, не являющихся работниками, не могут быть отнесены к какой-либо из регламентированных законом тайн (государственной, служебной, коммерческой или иной), то не представляется возможным прекращение трудового договора по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ (несмотря на требование Закона о персональных данных об обеспечении их конфиденциальности).

В любом случае при нарушении работником конфиденциальности персональных данных лиц, не являющихся работниками организации, допустимо привлечение к административной ответственности (ст. 13.11 КоАП РФ). Также при надлежащем оформлении обязанностей работника по обеспечению конфиденциальности - при виновном нарушении им таких обязанностей - работодатель может применить к работнику дисциплинарное взыскание в виде замечания или выговора.

Обязанности по обеспечению конфиденциальности сведений, определенных в локальном нормативном акте, должны быть закреплены в трудовых договорах работников, получающих доступ к таким сведениям.

4. Ответственность за нарушение правил работы с персональными данными

Статья 90 ТК РФ предусматривает ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника. Нарушитель может нести дисциплинарную, административную, гражданско-правовую и уголовную ответственность.

работник административный ответственность информационный

Табл. 4. Типичные нарушения, влекущие уголовную и административную ответственность

Характер нарушения	Типичные примеры	Нормы ответственности
Сбор информации без согласия работника	Применение негласного видеонаблюдения и прослушивания. Просмотр электронной и бумажной корреспонденции без предупреждения	Ст.ст. 137, 138 УК РФ Ст. 138 УК РФ
Сбор информации, не касающейся трудовых отношений	Установление средств наблюдения в доме работника, ведение слежки в публичных местах и т.д.	Ст.ст. 137, 139 УК РФ
Нарушение установленного порядка сбора информации	Превышение частным детективным агентством своих полномочий. Превышение охранно-сыскным подразделением предприятия своих полномочий	Отзыв лицензии Ст.ст. 137, 138 УК РФ
Нарушение установленного порядка использования информации	Отказ работнику в доступе к его персональным данным. Умышленное распространение информации о частной жизни работника. Небрежное обращение с персональными данными, непринятие мер к обеспечению их конфиденциальности	Ст. 140 УК РФ. Ст. 137 УК РФ или ст. 13.14 КоАП РФ (если сведения не составляют семейную и личную тайну). Ст. 13.11 КоАП РФ

4.1 Уголовная ответственность

Самая строгая, конечно, уголовная ответственность. Статья 137 УК РФ предусматривает наказание за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну. Уголовная ответственность грозит в том случае, если эти действия совершены намеренно, из корыстной или иной личной заинтересованности и повлекли за собой нарушение законных прав и свобод граждан. Причем наказание ужесточается, если виновный использовал свое служебное положение.

...