Защита персональных данных работника

Персональные данные накапливаются  и используются, например, в налоговых  инспекциях при передаче организациями  сведений о руководителе и главном  бухгалтере организации; в правоохранительных органах; страховых агентствах; туристических  и гостиничных фирмах; в некоторых  подразделениях муниципальных органов  самоуправления и т.д. Однако чаще всего сведения о персональных данных гражданина находятся в кадровой документации (документации по личному составу) организации, то есть в отделе кадров

Ответственность за распространение  персональных данных несет в первую очередь работодатель, а также  ответственные лица: отдел кадров или работник, отвечающий за сохранность  этих данных, согласно условиям трудового  договора или должностной инструкции.

Главное условие защиты персональных данных – четкая регламентация  функций работников отдела кадров, а также принадлежности работникам документов, дел, картотек, журналов персонального учета и баз данных.

Глава 2. Обработка, хранение и использование персональных данных работника

2.1 Обработка персональных данных работника

В силу специфики своей  деятельности обработкой персональных данных в организации занимается отдел кадров. Именно здесь "оседает" весь объем сведений о работниках. Вот почему процессы обработки, передачи и защиты конфиденциальной информации о работниках должны быть упорядочены, прежде всего, в этой службе.

Статья 86 ТК РФ устанавливает  общие требования при обработке  персональных данных работника и  гарантии их защиты, которые обязаны  соблюдать работодатель и его  представители, то есть руководитель предприятия, сотрудники кадровых служб и иные лица, которые имеют доступ к персональным данным работников.  

Так, в частности:

• при обработке персональных данных работника работодатель обязан соблюдать законодательство, содействовать работникам в трудоустройстве, обучении и продвижении по службе, обеспечивать личную безопасность работников и т.д.;
• работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
• нужно ознакомить работников под расписку с документами организации, устанавливающими порядок обработки их персональных данных, а также об их правах и обязанностях в этой области;
• работники не должны отказываться от своих прав на сохранение и защиту тайны;
• работодатели и работники должны совместно вырабатывать меры защиты персональных данных работников.

 Использование предприятием вышеуказанных данных сведений в  своей деятельности трактуется законодательством  как "обработка персональных данных".  К таким действиям можно отнести следующие: сбор, накопление, систематизация, уточнение, хранение, использование, обновление, изменение, блокирование, обезличивание, уничтожение передача, распространение и другие действия. Обычно все вышеперечисленные операции выполняются на любом предприятии и в любой организации, но в разном объёме.

В Трудовом Кодексе РФ ¹² оговариваются некоторые цели обработки персональных данных и указывается на то, что работодатель должен сам определить объём, цели и содержание обработки данных. В случае если этот объём превышает приведенный в Трудовом Кодексе РФ, то работодателю перед использованием данных работника необходимо получить его разрешение, т.е. перед тем как заключать трудовой договор с работодателем, работник обязан написать заявление о согласии на обработку своих персональных данных. Как правило, в таком заявлении должны быть указаны:

• Ф.И.О., номер документа, удостоверяющего его личность, сведения о его дате выдачи и выдавшем его органе, а также адрес работника;
• наименование и адрес работодателя, который получает согласие сотрудника;
• перечень персональных данных, согласие на обработку которых даёт работник;
• цель обработки персональных данных;
• перечень действий, связанных с персональными данными, на совершение которых даётся согласие, и общее описание способов обработки персональных данных, которые будет использовать работодатель;
• срок, в течение которого будет действовать согласие;
• порядок отзыва заявления.

Рассмотрим более детально цели обработки персональных данных. В  составленном заявлении работнику  необходимо подробно указать варианты, при которых могут использоваться его персональные данные. Например, прежде чем заказывать визитные карточки с фамилией работника, необходимо получить его согласие, так же обстоит ситуация и с присвоением электронного адреса, содержащего фамилию работника. Обязательно надо согласовать и  срок использования персональных данных работника после его увольнения.

Документы, содержащие сведения о  работнике, организация обязана  хранить в течение семидесяти пяти лет, поэтому работодателю стоит  заранее получить согласие на их использование, а так же определить объём в  котором эти сведения могут быть использованы. За работником сохраняется  право на отказ от использования  его персональных данных, но учитывая возможные последствия (ч. 2 ст. 18 Закона "О персональных данных"), этот отказ должен быть, оформлен письменно. Как правило, данного рода ситуации возникают на предприятиях достаточно редко, но чтобы избежать подобных осложнений работодатель обязан ознакомить работника с Положением о персональных данных, составить документ об ознакомлении с Положением, которые обязательно следует заверить подписью работника. Документ должен содержать полный список персональных данных, представляемых работниками, а также в нём указывается, где и каким образом они будут храниться, помимо этого в документе необходимо перечислить меры, принятые для обеспечения безопасного хранения носителей информации, и указать лиц ответственных за исполнение.

2.2 Хранение персональных данных работник

Конфиденциальность, сохранность  и защита персональных данных в отделе кадров обеспечивается отнесением их к служебной  тайне. Работа с персональными  данными должна быть организована в  строгом соответствии с требованиями к обработке и хранению информации ограниченного доступа. Режим конфиденциальности персональных данных снимается в  случаях обезличивания их или  по истечении 75 – лет срока хранения, если иное не определено законом.

Персональные данные содержатся в документации отдела кадров. Это:

• документы, связанные с подбором персонала;
• документы, сопровождающие процесс оформления трудовых правоотношений  гражданина (при решении вопросов о приеме на работу, переводе, увольнении и т.п.);
• материалы анкетирования, тестирования, проведения собеседований с кандидатами на должность;
• трудовые договоры, соглашения, устанавливающие взаимоотношения сторон;
• подлинники и копии приказов по личному составу;
• личные дела и трудовые книжки сотрудников;
• дела, содержащие основания к приказам по личному составу;
• дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям и т.п.;
• справочно-информационный банк данных по персоналу - учетно-справочный аппарат (картотеки, журналы, базы данных и др.);
• подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству предприятия, руководителям структурных подразделений и служб;
• копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления, муниципальные и другие учреждения.

При работе с персональными  данными сотрудниками отделов кадров должны соблюдаться следующие основополагающие принципы по их защите:

1. личная ответственность руководства предприятия и работников отдела кадров за сохранность и конфиденциальность сведений о работе отдела и персональных данных, а также о носителях этой информации;
2. разбиение (дробление) персональных данных между разными руководителями предприятия и работниками отдела кадров;
3. наличия четкой разрешительной системы доступа руководства предприятия и  работников отдела кадров к документам, содержащим персональные данные;
4. проведения регулярных проверок наличия традиционных и  электронных документов, дел и баз данных у работников отдела и кадровых документов в подразделениях предприятия.

Главным здесь является четкая регламентация функций работников отдела кадров по разным видам документов, дел, карточек, журналов персонального  учета и баз данных. Посторонние  лица не должны знать распределение  этих функций, рабочие процессы, технологию составления, оформления, ведения и  хранения документов, дел и рабочих  материалов в отделе кадров. Под  посторонними лицами понимаются не только злоумышленники или их сообщники, но и сотрудники предприятия, функциональные обязанности которых не связаны  с работой отдела кадров.

Для этого первый руководитель предприятия должен издать приказ о  закреплении за работниками отдела кадров определенных массивов документов, необходимого для информационного  обеспечения функций, указанных  в должностных инструкциях. Должна также быть схема доступа работников отдела кадров и руководящего состава предприятия, структурных подразделений к документам отдела, введена личная ответственность указанных должностных лиц и работников за сохранность и конфиденциальность персональных данных.

В случае необходимости  перераспределения обязанностей среди  работников отдела (например, при болезни  одного из них) издается соответствующее  распоряжение начальника отдела кадров, в котором регламентируется характер изменений, их срок и дополнения к  документам, делам и базам данных. Следует соблюдать следующие  особенности обработки и хранения документов. Приказы по личному составу составляются, оформляются и хранятся в отделе кадров, а не в делопроизводственной службе. Материалы, связанные с анкетированием, тестированием, проведением собеседований  с кандидатами на должность, помещаются не в личное дело сотрудника, а в специальное дело с грифом «Строго конфиденциально». Объясняется это тем, что подобные материалы раскрывают личные и моральные качества сотрудника и могут при разглашении содержащихся в них сведений стать полезными злоумышленнику.

Приказом первого руководителя предприятия должен быть установлен порядок выдачи и ознакомления руководящего состава с личными делами сотрудников. Личные дела могут выдаваться только на рабочие места первого руководителя предприятия, его заместителя по кадрам и начальника отдела (управления) кадров. Дела выдаются (в том числе  начальнику отдела кадров или при  наличии письменного разрешения – работнику отдела) под роспись  в контрольной карточке. При возврате дела тщательно проверяется сохранность  документов, отсутствие повреждений  и включений в дело других документов или их подмены. Просмотр дела производится в присутствии руководителя. Передача личных дел руководителям через  их секретарей или референтов не допускается.

Другие руководители предприятия  могут знакомиться с личными  делами (или при отсутствии личных дел – карточками формы Т-2 (Приложение 1)) только непосредственно подчиненных  им сотрудников; к справочно-информационному  банку данных и другой документации отдела кадров они не допускаются. Ознакомление с делами осуществляется в помещении отдела кадров под наблюдением работника, ответственного за сохранность и ведение личных дел. Факт ознакомления фиксируется контрольной карточке личного дела.

Работник предприятия  вправе ознакомиться только со своим  личным делом и трудовой книжкой, учетными карточками, отражающими его  персональные данные. Факт ознакомления с личным делом также фиксируется  в контрольной карточке.

Не менее строгого контроля требует работа со справочно-информационным банком данных по персоналу предприятия (карточками, журналами и книгами  персонального учета сотрудников).

Отчетная и справочная работа отдела формирует каналы несанкционированного получения и незаконного использования персональных данных. В связи с этим, первым руководителем устанавливается: кто, когда, какие сведения и с какой целью может запрашивать в отделе кадров. И, что особенно важно – определяется порядок дальнейшего хранения сведений, работа с которыми закончена: где эти сведения будут находиться, кто несет ответственность за их сохранность и конфиденциальность.

На документах, выходящих  за пределы отдела кадров, может  ставиться гриф «конфиденциально»  или «для служебного пользования». В отделе кадров обязательно остаются копии всех отчетных и справочных документов.

Целесообразно, чтобы подлинники этих документов после минования в них надобности возвращались в отдел кадров для включения в дело вместо хранящейся там копии.

Руководитель подразделения  может иметь список сотрудников  с указанием основных биографических данных каждого из них (год рождения, образование, местожительство, домашний телефон и др.). Все перечисленные документы следует хранить в соответствующих делах, включенных в номенклатуру дел и имеющих гриф ограничения доступа. Не реже одного раза в год работники отдела кадров проверяют наличие этих дел в подразделениях, их комплектность, правильность ведения и уничтожения.

В отделе кадров дела, картотеки, учетные журналы и книги учета хранятся в рабочее и нерабочее время в металлических запирающихся и опечатываемых шкафах. Работникам не разрешается при любом по продолжительности выходе из помещения оставлять какие-либо документы на рабочем столе или оставлять шкафы незапертыми. У каждого работника должен быть свой шкаф для хранения закрепленных за ним дел и картотек. Трудовые книжки хранятся в сейфе.