Законодавство про захист персональних даних працівника

Дипломна робота:

Законодавство про захист персональних даних працівника

Зміст

Введення

1.Історія розвитку правового регулювання персональних даних працівників у Росії

2. Поняття персональних даних

2.1 Законодавче регулювання

2.2 Відмежування персональних даних від іншої інформації

3. Порядок роботи з конфіденційною інформацією про працівника

3.1 Робота кадрової служби з персональними даними

3.2 Загальні вимоги при обробці персональних даних працівника і гарантії їхнього захисту

3.3 Передача персональних даних працівників

3.4 Захист інформації при роботі з ЕОМ

3.5 Контроль захисту інформації

3.6 Правові аспекти застосування поліграфа

4. Відповідальність за порушення правил роботи з персональними даними

4.1 Кримінальна та цивільно-правова відповідальність

4.2 Адміністративна відповідальність

4.3 Дисциплінарна відповідальність

Висновок

Бібліографія

Додаток

Введення

У XXI столітті у людства з'являється все більше нових об'єктів, що потребують захисту шляхом закріплення відповідних норм у законі. Основний об'єкт на сьогоднішній день - це інформація. У наш час суспільство цілком залежить від отримуваних, оброблюваних і переданих даних. З цієї причини дані самі по собі набувають високу цінність. І тим більше ціна корисної інформації, чим вище її збереження.

З причини вищесказаного, законодавчими актами як у Росії, так і зарубіжних країн передбачають чималу кількість норм, спрямованих на регулювання створення, користування, передачі та захисту інформації в усіх її формах.

Особливою цінністю володіє інформація, що несе в собі відомості про особисте, індивідуальної чи сімейного життя людини. Ст.2 Конституції Російської Федерації закріплює основний принцип сучасного демократичного суспільства: «Людина, її права і свободи є найвищою цінністю». Відповідно і інформація, безпосередньо зачіпає приватні інтереси людини повинні поважатися і захищатися державою. У повсякденному житті людини збереження інформації про його життя залежить від нього самого. Але зовсім інша ситуація, коли ми зобов'язані надати дані про себе у відповідності з законом третій особі, а конкретно - роботодавцю. Працівник в даній ситуації передає конфіденційну інформацію про себе на відповідальне зберігання. Далі за збереження даних відповідає вже роботодавець. Він зобов'язаний оберігати відомості про працівника від посягань третіх осіб і нести відповідальність за розповсюдження зазначених даних.

Ефективне управління поведінкою працівника в процесі праці можливе лише за наявності достовірних відомостей про його особистості, представлених в достатньому обсязі. У Трудовому кодексі РФ це обставина знайшла чітке закріплення. У спеціальному розділі кодифікованого закону про працю роботодавцеві дозволено одержувати, зберігати, комбінувати, використовувати персональні дані найнятого їм працівника. Законодавець встановив загальні вимоги до обробки персональних даних працівника і визначив гарантії їх захисту. У сучасних соціально-економічних умовах в зв'язку з формуванням у країні ринкової економіки і загостренням соціальних проблем роль захисту персональних даних працівника значно зростає. У літературі з трудового права питання охорони персональних даних працівника вже піддавалися науковому аналізу, проте в даний час все ще залишається потреба в системному вивченні цього інституту вітчизняного трудового права, що й зумовило вибір теми дипломної роботи і зумовило її актуальність.

Мета дипломної роботи полягає в дослідженні трудових відносин у сфері захисту персональних даних працівника.

Поставлена ​​мета досягається шляхом вирішення ряду взаємопов'язаних завдань, найбільш суттєвими з яких є:

1. Вивчення історії розвитку правового регулювання персональних даних працівників у Росії.

2. Розгляд поняття персональних даних.

2. Дослідження порядку роботи з конфіденційною інформацією про працівника кадрової служби.

3. Аналіз видів відповідальності за порушення правил роботи з персональними даними.

4. Підведення підсумків по темі дипломного дослідження.

Ця проблема розглядалася у працях Степанова Є., Французовой Л., Кузьміна І., Ситникова Є. та інших.

Інформаційною базою дипломної роботи є Трудовий кодекс РФ, Федеральний закон «Про інформацію, інформаційні технології і про захист інформації», Федеральний закон «Про персональних даних» та інші нормативні правові акти.

Все вищевикладене визначило структуру дипломної роботи, яка складається з вступу, трьох розділів, висновків та бібліографії.

1. Історія розвитку правового регулювання персональних даних працівників у Росії

Трудові відносини в Російській Федерації та країнах-учасницях СНД, які входили до складу СРСР як союзних республік, в 70-90-х роках регулювалися Основами законодавства про працю СРСР 1970 років.

Разом з тим в кожній союзній республіці діяв свій Кодекс законів про працю, який відповідав Основ законодавства СРСР.

КЗпП РРФСР було прийнято 09.12.1971 р. і введений в дію з 01.04.1972 р. У КЗпП РРФСР, як і в кодексах інших союзних республік, була відсутня спеціальна глава, присвячена персональних даних працівника. Однак у всіх кодексах містилася спеціальна стаття, що забороняла вимагати при прийомі на роботу документи, крім передбачених законодавством.

Перелік документів, які працівник зобов'язаний представити при прийомі на роботу, був закріплений в Типових правилах внутрішнього трудового розпорядку (постанова Держкомпраці СРСР від 20.07.1984 р.). У всіх випадках з метою укладення трудового договору працівник мав пред'явити:

- Трудову книжку, а при вступі на роботу вперше - довідку про нього занятті, видану за місцем проживання;

- Звільнені із Збройних Сил - військовий квиток;

- Паспорт або інший документ, що засвідчує особу (особи у віці від 14 до 16 років - свідоцтво про народження).

Прийом на роботу без пред'явлення вказаних документів не допускався.

У випадках, коли були необхідні спеціальні знання, потрібно пред'явлення документів про освіту, професійну підготовку, рівень кваліфікації. Деякі категорії осіб при прийомі на роботу повинні були представити і ряд інших документів, якщо це прямо встановлювалося законодавством. Наприклад, інваліди повинні були мати трудову рекомендацію органів лікарсько-трудової експертизи, особи, прийняті на роботу з дітьми та на підприємства громадського харчування, - довідку медичної установи про стан здоров'я. При прийомі на роботу за конкурсом була потрібна письмова характеристика з останнього місця роботи і т. п.

Основним документом про трудову діяльність у Росії та державах - учасницях СНД, дотепер залишається трудова книжка. Раніше діяла Інструкція про порядок ведення трудових книжок на підприємствах, в установах і організаціях, затверджена постановою Держкомпраці СРСР від 20.06.1974 р. В даний час Постановою Міністерства праці та соціального розвитку РФ затверджена нова Інструкція щодо заповнення трудових книжок.

Трудові книжки ведуться на всіх працівників, які працювали понад п'ять днів. Питання, пов'язані з порядком ведення трудових книжок, їх зберігання, виготовлення, постачання і обліку, регулювалися Постановою Ради Міністрів СРСР і ВЦРПС від 06.09.1973 р. «Про трудові книжки робітників і службовців» та Інструкцією від 20.09.1974 р.

Заповнення трудових книжок і вкладишів до них вироблялося мовою союзної, автономної республіки, автономної області, автономного округу, на території яких розташовувалося підприємство, установа, організація, і офіційною мовою СРСР.

Заповнення трудової книжки вироблялося адміністрацією підприємства у присутності працівника не пізніше тижневого строку з дня прийняття на роботу.

У трудову книжку вносилося:

- Відомості про працівника: прізвище, ім'я, по батькові, дата народження, освіта, професія, спеціальність;

- Відомості про роботу: прийом на роботу, переведення на іншу постійну роботу, звільнення;

- Відомості про нагородження і заохочення: нагородження орденами і медалями, присвоєння почесних звань; заохочення за успіхи в роботі, застосовувані трудовим колективом, а також нагородження і заохочення, передбачені правилами внутрішнього трудового розпорядку і статутами про дисципліну;

- Інші заохочення відповідно до чинного законодавства;

- Відомості про відкриття, на які видані дипломи, про використані винаходи і раціоналізаторські пропозиції та про виплачені у зв'язку з цим винагороди.

Стягнення до трудової книжки не записувалися (що відповідає нормам, що діють і в даний час).

Усі записи у трудовій книжці вносилися адміністрацією підприємства тільки після видання наказу (розпорядження), але не пізніше тижневого строку, а при звільненні - в день звільнення і повинні були точно відповідати тексту наказу (розпорядження).

Після зазначення дати заповнення трудової книжки працівник своїм підписом запевняв правильність внесених відомостей.

При звільненні всі записи засвідчувалися підписом керівника підприємства або спеціально уповноваженою ним особою та печаткою підприємства або печаткою відділу кадрів.

Якщо трудова книжка заповнювалася одночасно мовою союзної, автономної республіки, автономної області, автономного округу і офіційною мовою СРСР, то засвідчувалися обидва тексти.

Окрім трудової книжки, на кожного працівника роботодавцем велося особиста справа, в якому зберігалися про нього найбільш повні відомості. Особиста справа включало в себе:

- Анкетно-біографічні та характеризують документи;

- Додаткові документи (анкета; автобіографія; копії (ксерокопії);

- Документи про освіту;

- Особисті заяви про прийом на роботу або про звільнення та копії наказів про це;

- Заяви працівника про переміщення та переказах та копії наказів;

- Подання до заохочення;

- Атестаційні листи та ін;

- Додаткові документи (характеристики з попереднього місця роботи;

- Довідки про стан здоров'я; фотографії та ін

Всі документи особової справи підшивалися в обкладинку (папку) встановленого зразка.

Особиста справа оформлялося після видання наказу про зарахування на роботу.

Після звільнення працівника його особиста справа оформлялося для передачі на зберігання.

Особові справи видавалися для ознайомлення тільки працівникам, які займають певні посади. Коло таких осіб, що допускаються до роботи з документом особової справи, визначалося законодавством і роботодавцем.

При роботі з особистою справою, виданими для ознайомлення, заборонялося здійснювати будь-які виправлення в раніше зроблених записах, вносити до нього нові записи, вилучати з особової справи наявні там документи або поміщати в нього нові і розголошувати містяться в ньому конфіденційні відомості.

Під час вилучення будь-яких документів з особової справи особа, відповідальна за ведення особових справ, зобов'язана робити у внутрішній опису відповідний запис.

У кадровому підрозділі зберігалися тільки особисті справи працівників. Для зберігання повинні були використовуватися сейфи або конторські шафи, в яких особисті справи розташовуються по одному номерів. Шафи чи металеві сейфи повинні були закриватися на замок і опечатуватися.

Ст. 24 Конституції РФ забороняє збирання, зберігання, використання та поширення інформації про приватне життя особи без його згоди.

Органи державної влади та органи місцевого самоврядування, їх посадові особи зобов'язані забезпечити кожному можливість ознайомлення з документами і матеріалами, безпосередньо зачіпають його права та свободи, якщо інше не передбачено законом.

Відповідно до ст. 41 Конституції РФ 1993 року, а також Конституціями держав-учасників СНД громадяни цих країн мають невід'ємним правом на охорону здоров'я.

Держава забезпечує громадянам охорону здоров'я незалежно від статі, раси, національності, мови, соціального походження, посадового становища, місця проживання, ставлення до релігії, переконань, належності до громадських об'єднань, а також інших обставин.

Кожен має право знайомитися в органах державної влади, органах місцевого самоврядування, установах і організаціях з відомостями про себе, не є державною або іншою захищеною законом таємницею.

Кожному гарантується судовий захист права спростовувати недостовірну інформацію про себе і членів своєї сім'ї та права вимагати вилучення будь-якої інформації, а також право на відшкодування матеріальної і моральної шкоди, завданої збиранням, зберіганням, використанням та поширенням такої недостовірної інформації ».

У трудових кодексах країн-учасниць СНД, прийнятих у період з 1997 року по 2001 року, містяться статті, які встановлюють перелік документів, необхідних для укладення трудового договору. До них відносяться:

- Трудова книжка;

- Документ, що засвідчує особу;

- Документ про професійну підготовку чи освіті, якщо це необхідно для виконання трудової функції;

- Довідка про стан здоров'я для певних робіт, професій і посад, а також трудова рекомендація для інвалідів;

- Документи військового обліку.

Забороняється вимагати при прийомі на роботу документи, не передбачені трудовими кодексами або чинним законодавством.

30 березня 1995 в Росії був прийнятий Федеральний закон «Про попередження поширення в Російській Федерації захворювання, що викликається вірусом імунодефіциту людини (ВІЛ-інфекції)».

Державою гарантуються:

- Регулярне інформування населення, в тому числі через засоби масової інформації, про доступні заходи профілактики ВІЛ-інфекції;

- Епідеміологічний нагляд за поширенням ВІЛ-інфекції на території Російської Федерації;

- Виробництво засобів профілактики, діагностики та лікування ВІЛ-інфекції, а також контроль за безпекою медичних препаратів, біологічних рідин і тканин, що використовуються в діагностичних, лікувальних і наукових цілях;

- Доступність медичного огляду для виявлення ВІЛ-інфекції, в тому числі й анонімного, з попереднім і наступним консультуванням і забезпечення безпеки такого медичного огляду, як для оглядають, так і для особи, що проводить огляд;

- Безкоштовне надання всіх видів кваліфікованої та спеціалізованої медичної допомоги ВІЛ-інфікованим громадянам Російської Федерації, безкоштовне отримання ними медикаментів при лікуванні в амбулаторних або стаціонарних умовах, а також їх безкоштовний проїзд до місця лікування і назад в межах Російської Федерації;

- Розвиток наукових досліджень з проблем ВІЛ-інфекції;

- Включення до навчальних програм освітніх установ тематичних питань по моральному і статевого виховання;

- Соціально-побутова допомога ВІЛ-інфікованим громадянам Російської Федерації, отримання ними освіти, їх перекваліфікація і працевлаштування;

- Підготовка фахівців для реалізації заходів щодо попередження поширення ВІЛ-інфекції;

- Розвиток міжнародного співробітництва та регулярний обмін інформацією в рамках міжнародних програм попередження поширення ВІЛ-інфекції.

ВІЛ-інфіковані громадяни РФ мають на її території всіма правами і свободами і несуть обов'язки відповідно до Конституції Російської Федерації, законодавством РФ і законодавством суб'єктів РФ.

Працівники окремих професій, виробництв, підприємств, установ і організацій, перелік яких затверджується Урядом РФ, проходять обов'язковий медичний огляд для виявлення ВІЛ-інфекції при проведенні обов'язкових попередніх при влаштуванні на роботу і періодичних медичних оглядів.

Правила, відповідно до яких здійснюється обов'язковий медичний огляд осіб з метою охорони здоров'я населення та попередження розповсюдження ВІЛ-інфекції, а також у місцях позбавлення волі, встановлюються Урядом РФ і переглядаються їм не рідше одного разу на п'ять років.

У разі виявлення ВІЛ-інфекції у неповнолітніх віком до 18 років, а також в осіб, визнаних у встановленому законом порядку недієздатними, працівники медичних установ повідомляють про це батьків або інших законних представників зазначених осіб.

Не допускаються звільнення з роботи, відмова у прийомі на роботу, відмова у прийомі в освітні установи та установи, які надають медичну допомогу, а також обмеження інших прав і законних інтересів ВІЛ-інфікованих на підставі наявності у них ВІЛ-інфекції, так само як і обмеження житлових та інших прав і законних інтересів членів сімей ВІЛ-інфікованих (ст. 17).

Медичні працівники та інші особи, яким у зв'язку з виконанням службових або професійних обов'язків стали відомі відомості про результати проведення медичного огляду на виявлення ВІЛ-інфекції, зобов'язані зберігати ці відомості в таємниці.

За розголошення відомостей, що становлять лікарську таємницю, особи, яким ці відомості стали відомі у зв'язку з виконанням ними своїх службових або професійних обов'язків, несуть відповідальність відповідно до законодавства Російської Федерації.

У разі виявлення ВІЛ-інфекції у працівників окремих професій, виробництв, підприємств, установ і організацій, перелік яких затверджується Урядом РФ, ці працівники підлягають переведенню на іншу роботу, що виключає умови розповсюдження ВІЛ-інфекції.

При відмові від проходження обов'язкового медичного огляду на виявлення ВІЛ-інфекції без поважних причин працівник підлягає дисциплінарній відповідальності у встановленому порядку.

Звід практичних правил МОП щодо захисту персональних даних працівника був прийнятий на нараді експертів в 1996 року. Він не має обов'язкової сили, але міг бути використаний при розробці національного законодавства.

У ньому викладено основні принципи збору, обробки, використання та зберігання особистої інформації про працівників, а також про осіб, що звертаються до роботодавця з метою працевлаштування.

Спеціальні розділи Зводу присвячені особистих прав працівника, що виникають у зв'язку зі збором персональних даних, зокрема, праву на повідомлення про збір персональних даних, на ознайомлення в робочий час з відомостями про себе, які є у роботодавця, на отримання копій документів, право на доступ до медичних документів через свого лікаря-представника і ін

Звід практичних правил МОП щодо захисту персональних даних працівника з'явився практичним керівництвом для розробників проекту Трудового кодексу Російської Федерації, які включили до нього розділ 13 «Захист персональних даних працівника». Норми цієї глави повністю відповідають положенням Зводу.

У Трудових кодексах інших держав-учасників СНД подібні глави відсутні.

2. Поняття персональних даних

2.1 Законодавче регулювання

У сучасному світі до захисту конфіденційних відомостей пред'являють все більші вимоги. Оскільки персональні дані працівників містять дані особистого характеру, до забезпечення гарантій щодо їх збереження і нерозголошення ставляться дуже серйозно. У зв'язку з цим нормативні акти, що регулюють забезпечення схоронності персональних даних взагалі і працівників зокрема передбачені не тільки національним законодавством, а й міжнародними актами.

Стаття 12 Загальної декларації прав людини 1948 року говорить «Ніхто не може зазнавати безпідставного втручання у його особисте і сімейне життя. Кожна людина має право на захист закону від такого втручання або таких посягань ». Право на повагу до особистого і сімейного життя міститься так само і в Конвенції про захист прав людини та основних свобод. Ці міжнародні правові акти заклали основу створення національних правових систем. Необхідно відзначити, що приймалися вони через кілька років після руйнівної Світової війни, в той час, коли права людини були чимось дуже далеким від реальності. І, тим не менше, право недоторканності приватного життя (у тому числі конфіденційних відомостей) було вписано в Декларацію як одне з основних.

Надалі, коли у світовому співтоваристві відбувалася серйозна боротьба за закріплення політичних прав людини, право недоторканності особистого життя було підтверджено Міжнародним пактом про громадянські та політичні права.

У 1995 році Співдружністю Незалежних Держав (до складу якого входить Росія) була прийнята Конвенція про права та основні свободи людини, яка закріпила основні права на території колишнього Союзу СРСР.

Що стосується Російської Федерації, то на сьогоднішній день збереження конфіденційних відомостей на її території забезпечується наступними нормативними актами.

По-перше, це Конституція Російської Федерації. У її положеннях визнається не тільки саме право на недоторканність особистого життя, особисту і сімейну таємницю (ч.1 ст.23), а й забезпечують це право додаткові гарантії. Відповідно до ст. 2 Конституції «людина, її права і свободи є найвищою цінністю. Визнання, дотримання і захист прав і свобод людини і громадянина - обов'язок держави ». Таким чином, Російська Федерація не тільки встановлює право, але і зобов'язується захищати його; ставить інтереси людини і громадянина на щабель вище, ніж інтереси держави, суспільства, яких суспільних чи комерційних організацій. Відповідно до ч.1 ст. 15 Конституція РФ є документом прямої дії, тобто її норми не потребують додаткового визнання і виконуються «як є». Ч.4 ст. 15 визнає Міжнародні договори (у т.ч. зазначені Конвенції) джерелом права і відводить їм чільну роль. Ч.1 ст. 24 забороняє збирання, зберігання, використання та поширення інформації про приватне життя особи без його згоди. І, нарешті, згідно зі ст. 46 кожному гарантується судовий захист його прав, у тому числі в міждержавних органах.

Крім того, дану сферу регулює Федеральний Закон "Про інформацію, інформаційні технології і про захист інформації" і Федеральний Закон «Про персональних даних». Зокрема ч.1 ст. 11 Закону визначає, що персональні дані є конфіденційною інформацією, а ч.3 цієї ж статті попереджає про настання відповідальності юридичних і фізичних осіб за порушення режиму захисту, обробки та порядку використання цієї інформації.

Персональні дані віднесені до категорії конфіденційних відомостей (відповідно до ФЗ «Про інформацію ...») і відповідним Переліком, який дає їм наступне визначення: «відомості про факти, події і обставини приватного життя громадянина, що дозволяють ідентифікувати його особу».

Сфера відносин, що стосується персональних даних працівника регулюється гл.14 Трудового кодексу Російської Федерації. Де встановлено поняття персональних даних працівника, встановлений порядок роботи з ними і закріплюється відповідальність роботодавця за порушення відповідних норм.

2. Відмежування персональних даних від іншої інформації

У Трудовому кодексі вперше з'явилася спеціальна глава, присвячена захисту персональних даних працівника (ст. 85-90). Роботодавець завжди збирав дані про особу працівника. Для цієї мети використовувалися "Особовий листок" і різні анкети, а також письмові характеристики і т.д. Проте офіційна правова регламентація обробки цих даних, доступна працівникові, була відсутня.

У ст. 85 ТК і наступних статтях цієї глави стосовно до трудових відносин отримали конкретизацію конституційні положення про право кожного на недоторканність приватного життя, особисту і сімейну таємницю, захист своєї честі і доброго імені (ст. 23 Конституції РФ).

У Трудовому кодексі під персональними даними працівника розуміється інформація, необхідна роботодавцю у зв'язку з трудовими відносинами і що стосується конкретного працівника (ч.1 ст.85 ТК РФ).

Легко помітити, що під це визначення можна підвести будь-яку інформацію про працівника. І роботодавці нерідко збирають про співробітника всю інформацію, мотивуючи це тим, що хочуть мати максимально повне уявлення про нього.

Досить часто від працівника вимагають повідомити вичерпну інформацію про його сімейний стан та найближчих родичів, про житлові умови, стан здоров'я, про факти притягнення до кримінальної відповідальності, про наявність постійної реєстрації за місцем проживання та багато іншого. Але такого роду інформація ніяким чином не відноситься до трудової діяльності працівника. Навпаки, тим самим роботодавець переходить тонку межу, яка відокремлює персональні дані від відомостей, що становлять таємницю приватного життя, особисту або сімейну таємницю громадянина.

Серед документів і матеріалів, що містять інформацію, необхідну роботодавцю у зв'язку з трудовими відносинами, основне місце займають:

1) документи, що подаються при укладанні трудового договору (див. ст. 65 ТК);

2) документи про склад сім'ї працівника, необхідні для надання йому гарантій, пов'язаних з виконанням сімейних обов'язків;

3) документи про стан здоров'я працівника, якщо відповідно до законодавства він повинен пройти попередній та періодичні медичні огляди;

4) документи, що підтверджують право на додаткові гарантії і компенсації за визначеними підставами, передбаченим законодавством (про інвалідність, донорство, знаходження в зоні впливу радіації в зв'язку з аварією на Чорнобильській АЕС та ін);

5) документ про вагітність робітниці і вік дітей для надання матері встановлених законом умов праці, гарантій і компенсацій. Вищесказане можна представити у вигляді такої таблиці:

Таб. 1 Основний критерій оцінки - характер збирається роботодавцем інформації

Характер інформації	Персональні дані (інформація про працівника, необхідна роботодавцю у зв'язку з трудовими відносинами - ст. 85 ТК РФ)		Інформація про приватне життя працівника, яка не стосується трудових відносин
	Інформація про виконання службових обов'язків	Відомості про факти, події і обставини приватного життя (конфіденційні дані)
У якому випадку роботодавець має право отримувати інформацію	Завжди	При дотриманні встановлених законом умов	Ніколи

Серед персональних даних працівника повинні бути трудовий договір, наказ (розпорядження) про прийом на роботу, накази (розпорядження) про зміну умов трудового договору, його припинення, а також накази (розпорядження) про заохочення і дисциплінарні стягнення, застосованих до працівника. У період дії трудового договору серед персональних даних працівника повинна знаходитися його трудова книжка.

Для того щоб встановити, в якому обсязі роботодавець має право отримувати від працівника інформацію про його персональних даних, необхідно звернути увагу на дуже важливе обмеження - це цільовий характер використання персональних даних. Обробка цього виду інформації може проводитися виключно в цілях, зазначених у пункті 1 статті 86 ТК РФ.

3. Порядок роботи з конфіденційною інформацією про працівника

3.1 Робота кадрової служби з персональними даними

У силу специфіки своєї діяльності обробкою персональних даних в організації займається відділ кадрів. Саме тут "осідає" весь обсяг відомостей про працівників. Ось чому процеси обробки, передачі та захисту конфіденційної інформації про працівників повинні бути впорядковані, перш за все, у цій службі.

Правила ведення конфіденційного діловодства повинні застосовуватися в першу чергу щодо особистих справ співробітників, у яких містяться персональні дані. Комплектація особистих справ є найбільш складною і відповідальною роботою, вимагає особливої ​​ретельності і акуратності при оформленні. Кожне підприємство має право самостійно вирішувати питання про те, які документи включати до складу особистих справ.

Працівники відділу кадрів повинні пам'ятати, що особисті справи співробітників повинні зберігатися строго окремо від усіх інших документів у закритих шафах або ящиках. Необхідно мати на увазі також та обставина, що документи, включені до складу особових справ, мають різні терміни зберігання. Для деяких з них (наказів, особових карток) встановлені тривалі терміни зберігання і обов'язкова вимога щодо їх передачі в державні архіви.

Відділу кадрів доцільно вести журнал обліку, в який будуть заноситися всі факти ознайомлення з персональними даними працівників, а також інформація про рух документів, включених в особисті справи, і самих особистих справ. У такому журналі повинні бути передбачені графи про дату видачі та повернення документів (особистих справ), строку користування, цілі видачі, найменування видавали документів (особистих справ). У присутності особи, що повертає особиста справа, обов'язково звіряється за описом наявність всіх документів. Особи, які отримують документи (особові справи) у тимчасове користування, не мають права робити в них позначки, виправлення, вносити нові записи, витягати документи з особової справи або поміщати в нього нові.

Принциповою вимогою правил роботи з персональними даними є встановлення особистої відповідальності співробітників за нерозголошення довіреної їм конфіденційної інформації, за збереження відомостей, а також їх носіїв. У зв'язку з цим особа, яка отримала право працювати з персональними даними, має прийняти на себе ряд зобов'язань: не розголошувати довірені їм відомості, неухильно виконувати правила роботи з персональними даними, забезпечувати надійне зберігання носіїв конфіденційної інформації.

Також слід негайно повідомляти уповноваженим особам про втрату ключів, печаток і штампів, давати усні та письмові пояснення по фактах порушення правил. У число обмежень входять також заборони на вчинення певних дій, що можуть спричинити втрату носіїв інформації або розголошення конфіденційних відомостей, зокрема, на передачу персональних даних особам, які не мають до них доступу; на винос документів з робочого приміщення без службової необхідності і пр. Перелік зазначених зобов'язань доцільно відобразити в Положенні або посадової інструкції спеціаліста.

Більше того, відповідно до частини 3 статті 57 Трудового кодексу умова про нерозголошення працівником відомостей, що становлять охоронювану законом таємницю, що стала йому відома у зв'язку з виконанням своїх посадових обов'язків, може бути включено в трудовий договір з таким фахівцем. У цьому випадку на роботодавця лежить обов'язок ознайомити працівника з локальними нормативними актами підприємства, що містять правила обробки і захисту персональних даних. Саме така процедура доступу може бути використана у відношенні фахівців кадрових служб.

Система захисту конфіденційних відомостей повинна передбачати проведення регулярних перевірок наявності документів та інших носіїв інформації, які містять персональні дані працівників, а також дотримання правил роботи з ними.

Як показує досвід, застосування тільки адміністративних заходів не гарантує повноцінну охорону конфіденційних відомостей. Надійність захисту залежить значною мірою від розстановки і внутрішньофірмового розвитку співробітників. Крім того, персонал - один з головних каналів витоку інформації. Діяльність кадрової служби повинна бути спрямована на виховання працівників, допущених до роботи з персональними даними, вироблення навичок роботи з носіями конфіденційної інформації, закриття побутових каналів витоку даних. Тут можуть бути корисні індивідуальна бесіда, попередження про відповідальність, роз'яснення юридичних наслідків розголошення інформації.

3.2 Загальні вимоги при обробці персональних даних працівника і гарантії їхнього захисту

Конфіденційність, збереження і захист персональних даних у відділі кадрів забезпечується віднесенням їх до службової таємниці. Робота з персональними даними повинна бути організована в суворій відповідності з вимогами до обробки та зберігання інформації обмеженого доступу. Режим конфіденційності персональних даних знімається у випадках знеособлення їх або після закінчення 75 - років терміну зберігання, якщо інше не визначено законом.

У ст. 86 Трудового кодексу РФ містяться загальні вимоги при обробці персональних даних працівника і гарантії їхнього захисту.

З метою забезпечення прав і свобод людини і громадянина роботодавець і його представники при обробці персональних даних працівника зобов'язані дотримуватися такі загальні вимоги:

1) обробка персональних даних працівника може здійснюватися винятково з метою забезпечення дотримання законів та інших нормативних правових актів, сприяння працівникам у працевлаштуванні, навчанні і про рух по службі, забезпечення особистої безпеки працівників, контролю кількості та якості виконуваної роботи і забезпечення збереження майна;

2) при визначенні обсягу і змісту оброблюваних персональних даних працівника роботодавець повинен керуватися Конституцією Російської Федерації, Трудовим кодексом та іншими федеральними законами;

3) всі персональні дані працівника слід отримувати в нього самого. Якщо персональні дані працівника можливо отримати тільки в третьої сторони, то працівник повинен бути повідомлений про це заздалегідь і від нього має бути отримано письмову згоду. Роботодавець повинен повідомити працівника про цілі, передбачуваних джерелах і способи отримання персональних даних, а також про характер підлягають отриманню персональних даних, і за наслідки відмови працівника дати письмову згоду на їх отримання;

4) роботодавець не має права отримувати та обробляти персональні дані працівника про його політичних, релігійних та інших переконаннях і приватного життя. У випадках, безпосередньо пов'язаних з питаннями трудових відносин, у відповідності зі статтею 24 Конституції Російської Федерації роботодавець вправі отримувати і обробляти дані про приватне життя працівника лише за його письмовою згодою;

5) роботодавець не має права отримувати та обробляти персональні дані працівника про його членство в громадських об'єднаннях або його профспілкової діяльності, за винятком випадків, передбачених Трудовим кодексом або іншими федеральними законами;

6) при прийнятті рішень, що зачіпають інтереси працівника, роботодавець не має права грунтуватися на персональних даних працівника, отриманих виключно в результаті їх автоматизованої обробки або електронного отримання;

7) захист персональних даних працівника від неправомірного їх використання або втрати повинен бути забезпечений роботодавцем за рахунок його коштів у порядку, установленому Трудовим кодексом та іншими федеральними законами;

8) працівники та їхні представники повинні бути ознайомлені під розпис з документами роботодавця, які встановлюють порядок обробки персональних даних працівників, а також про їхні права та обов'язки в цій галузі;

9) працівники не повинні відмовлятися від своїх прав на збереження і захист таємниці;

10) роботодавці, працівники та їхні представники повинні спільно виробляти заходи захисту персональних даних працівників.

Персональні дані містяться в документації відділу кадрів. Це:

• документи, пов'язані з підбором персоналу;

• документи, що супроводжують процес оформлення трудових правовідносин громадянина (при вирішенні питань про прийом на роботу, переведення, звільнення тощо);

• матеріали анкетування, тестування, проведення співбесід з кандидатами на посаду;

• трудові договори, угоди, що встановлюють взаємовідносини сторін;

• оригінали та копії наказів по особовому складу;

• особові справи та трудові книжки працівників;

• справи, що містять підстави до наказів по особовому складу;

• справи, що містять матеріали з підвищення кваліфікації та перепідготовки співробітників, їх атестації, службовим рас прямуванням тощо;

• довідково-інформаційний банк даних по персоналу - обліково-довідковий апарат (картотеки, журнали, бази даних тощо);

• оригінали та копії звітних, аналітичних та довідкових матеріалів, переданих керівництву підприємства, керівникам структурних підрозділів і служб;

• копії звітів, які направляються в державні органи статистики, податкові інспекції, вищі органи управління, муніципальні та інші установи.

При роботі з персональними даними співробітниками відділів кадрів повинні дотримуватися такі основоположні принципи щодо їх захисту:

- Особиста відповідальність керівництва підприємства та працівників відділу кадрів за збереження і конфіденційність відомостей про роботу відділу і персональних даних, а також про носіїв цієї інформації;

- Розбиття (дроблення) персональних даних між різними керівниками підприємства і працівниками відділу кадрів;

- Наявності чіткої дозвільної системи доступу керівництва підприємства та працівників відділу кадрів до документів, що містять персональні дані;

- Проведення регулярних перевірок наявності традиційних та електронних документів, справ і баз даних у працівників відділу і кадрових документів у підрозділах підприємства.

Головним тут є чітка регламентація функцій працівників відділу кадрів з різних видів документів, справ, карток, журналів персонального обліку і баз даних. Сторонні особи не повинні знати розподіл цих функцій, робочі процеси, технологію складання, оформлення, ведення і зберігання документів, справ і робочих матеріалів у відділі кадрів. Під сторонніми особами розуміються не тільки зловмисники або їх спільники, але і співробітники підприємства, функціональні обов'язки яких не пов'язані з роботою відділу кадрів. Слід також враховувати, що працівник відділу кадрів не повинен бути обізнаний про порядок роботи інших співробітників відділу.

Для цього перший керівник підприємства повинен видати наказ про закріплення за працівниками відділу кадрів певних масивів документів, необхідного для інформаційного забезпечення функцій, зазначених в посадових інструкціях. Повинна також бути схема доступу працівників відділу кадрів та керівного складу підприємства, структурних підрозділів до документів відділу, введена особиста відповідальність зазначених посадових осіб і працівників за збереження і конфіденційність персональних даних.

Не допускається, щоб працівник відділу кадрів міг знайомитися з будь-якими документами і матеріалами відділу. Доцільно, щоб кожен з них був закріплений за певною групою персоналу підприємства і виконував весь обсяг функцій від підбору кандидата на вакантну посаду до зберігання документації.

У разі необхідності перерозподілу обов'язків серед працівників відділу (наприклад, при хворобі одного з них) видається відповідне розпорядження начальника відділу кадрів, в якому регламентується характер змін, їх термін і доповнення до документів, справ і базам даних.

Слід дотримуватися такі особливості обробки і зберігання документів.

Накази з особового складу складаються, оформляються і зберігаються у відділі кадрів, а не в діловодній службі.

Операції з оформлення, формування, ведення і зберігання особових справ виконуються одним працівником відділу кадрів, який несе особисту відповідальність за збереження документів у справах та доступ до справ інших працівників.

Матеріали, пов'язані з анкетуванням, тестуванням, проведенням співбесід з кандидатами на посаду, поміщаються не в особисту справу працівника, а в спеціальний справу з грифом «Суворо конфіденційно». Пояснюється це тим, що подібні матеріали розкривають особисті та моральні якості працівника і можуть при розголошенні які у них відомостей стати корисними зловмисникові.

Матеріали тестування працюючих співробітників, їх атестації формуються в окрему справу також з грифом суворої конфіденційності. У разі вилучення з особової справи документа в опису справи проводиться запис із зазначенням підстави для його вилучення і нового місцезнаходження. З документа, що підлягає вилученню, знімається копія, що підшивається на місце вилученого документа. Відмітка в опису та копія засвідчуються начальником і працівником відділу кадрів. Заміна документів в особовій справі ким би то не було заборонено. Нові виправлені документи поміщаються з раніше підшитими.

Наказом першого керівника підприємства повинен бути встановлений порядок видачі та ознайомлення керівного складу з особистими справами співробітників. Особові справи можуть видаватися тільки на робочі місця першого керівника підприємства, його заступника по кадрах і начальника відділу (управління) кадрів. Справи видаються (в тому числі начальнику відділу кадрів або за наявності письмового дозволу - працівника відділу) під розпис у контрольній картці. При поверненні справи ретельно перевіряється збереження документів, відсутність пошкоджень і включень у справу інших документів або їх підміни. Перегляд справи проводиться в присутності керівника. Передача особових справ керівникам через їх секретарів або референтів не допускається.

Інші керівники підприємства можуть ознайомитися з особистими справами (або при відсутності особистих справ - картками форми Т-2) тільки безпосередньо підпорядкованих їм співробітників; до довідково-інформаційного банку даних та іншої документації відділу кадрів вони не допускаються. Ознайомлення зі справами здійснюється в приміщенні відділу кадрів під наглядом працівника, відповідального за збереження та ведення особистих справ. Факт ознайомлення фіксується контрольній картці особової справи. Працівник підприємства має право ознайомитися лише зі своїм особистим справою й трудовою книжкою, обліковими картками, що відбивають його персональні дані. Факт ознайомлення з особистою справою також фіксується у контрольній картці.

Не менш суворого контролю вимагає робота з довідково-інформаційним банком даних з персоналу підприємства (картками, журналами і книгами персонального обліку співробітників).

Звітна і довідкова робота відділу формує канали несанкціонованого отримання і незаконного використання персональних даних. У зв'язку з цим першим керівником встановлюється: хто, коли, які відомості і з якою метою може запитувати у відділі кадрів. І, що особливо важливо - визначається порядок подальшого зберігання відомостей, робота з якими завершено: де ці відомості будуть перебувати, хто несе відповідальність за їх збереження і конфіденційність.

На документах, які виходять за межі відділу кадрів, може ставитися гриф «конфіденційно» або «для службового користування». У відділі кадрів обов'язково залишаються копії всіх звітних і довідкових документів. Доцільно, щоб оригінали цих документів після відпадання в них потреби поверталися в від справ кадрів для включення у справу замість зберігається там копії.

У структурних підрозділах підприємства можуть бути наступні документи, що містять персональні дані:

- Журнал табельної обліку із зазначенням посад, прізвищ та ініціалів співробітників (знаходиться у працівника, який веде табельний облік, - табельника),

- Штатний розклад (штатний формуляр) підрозділу, в якому може додатково вказуватися, хто із співробітників займає ту чи іншу посаду, вакантні посади (знаходиться у керівника підрозділу),

- Справа з виписками з наказів з особового складу, що стосуються персоналу під поділу (знаходиться в табельника).

Керівник підрозділу може мати список співробітників із зазначенням основних біографічних даних кожного з них (рік народження, освіта, місце проживання, домашній телефон і ін.) Всі перераховані документи слід зберігати у відповідних справах, включених до номенклатури справ і мають гриф обмеження доступу. Не рідше одного разу на рік працівники відділу кадрів перевіряють наявність цих справ у підрозділах, їх комплектність, правильність ведення і знищення.

У відділі кадрів справи, картотеки, облікові журнали і книги обліку зберігаються в робочий і неробочий час в металевих замикаються і опечатується шафах. Працівникам не дозволяється при будь-якому за тривалістю виході з приміщення залишати будь-які документи на робочому столі або залишати шафи незамкненими. У кожного працівника має бути своя шафа для зберігання закріплених за ним справ і картотек. Трудові книжки зберігаються в сейфі. Залишати на робочому столі в не робочий час документи, картотеки, службові записи й інші матеріали категорично забороняється.

Крім операцій з документами працівники відділу кадрів значну частину часу витрачають на прийом відвідувачів. Цей вид роботи також повинен бути строго регламентований, тому що відвідувачі можуть становити певну загрозу інформаційній безпеці відділу кадрів і фізичної безпеки працівників відділу. Прийомні години повинні бути різними для співробітників підприємства та осіб, що не входять в цю категорію. У години прийому відвідувачів працівники відділу не повинні виконувати функції, не пов'язані з прийомом, вести службові та особисті переговори по телефону.

На столі працівника, провідного прийом, не повинно бути ніяких документів, окрім тих, які стосуються даного відвідувача. Відповіді на питання даються тільки особисто тій особі, якої вони стосуються. Не допускається відповідати на питання, пов'язані з передачею персональної інформації, по телефону або факсом. Відповіді на правомірні письмові запити інших установ і організацій даються у письмовій формі і в тому обсязі, який дозволяє не розголошувати зайвий обсяг персональних відомостей.

Підбір персоналу для роботи у відділі кадрів ведеться з урахуванням вимог, які розроблені для посад, пов'язаних з володінням і обробкою конфіденційних відомостей і документів. Тут: аналіз особистісних і моральних якостей претендентів на посаду; підписання зобов'язання про нерозголошення захищаються відомостей; оформлення наказом першого керівника підприємства допуску до конфіденційної інформації; навчання правилам захисту конфіденційної інформації та регулярне інструктування з окремих питань захисту; контроль дотримання діючих інструкцій по роботі з конфіденційними документами .

Іншими словами, порядок функціонування відділу кадрів повинен бути підпорядкований вирішенню завдань забезпечення безпеки персональних відомостей, їх захисту від різного роду зловмисників.

3.3 Передача персональних даних працівників

Інформація, що відноситься до персональних даних працівника, може бути надана державним органам у порядку, встановленому федеральним законом.

Роботодавець не має права надавати персональні дані працівника третій стороні без письмової згоди працівника, за винятком випадків, коли це необхідно з метою попередження загрози життю і здоров'ю працівника, а також у випадках, встановлених федеральним законом.

У разі якщо особа, яка звернулася із запитом, не уповноважене федеральним законом на отримання персональних даних працівника або відсутня письмова згода працівника на надання його персональних відомостей, роботодавець зобов'язаний відмовити в наданні персональних даних. Особі, яка звернулася із запитом, видається письмове повідомлення про відмову у наданні персональних даних.

Персональні дані працівника можуть бути передані представникам працівників у порядку, установленому Трудовим кодексом, в тому обсязі, в якому це необхідно для виконання зазначеними представниками їх функцій.

Роботодавець забезпечує ведення журналу обліку виданих персональних даних працівників, в якому реєструються запити, фіксуються відомості про особу, що спрямувало запит, дата передачі персональних даних або дата повідомлення про відмову у наданні персональних даних, а також зазначається, яка саме інформація була передана.

У разі якщо особа, яка звернулася із запитом, не уповноважене федеральним законом або цим Положенням на отримання інформації, що відноситься до персональних даних працівника, роботодавець зобов'язаний відмовити особі у видачі інформації. Особі, яка звернулася із запитом, видається повідомлення про відмову у видачі інформації, копія повідомлення підшивається в особисту справу працівника.

3.4 Захист інформації при роботі з ЕОМ

Витік конфіденційної інформації від персональних ЕОМ може відбуватися за наступними каналами:

- Організаційного каналу через персонал, зловмисника, його спільника, силовим кримінальним шляхом,

- Побічних електромагнітних випромінювань від ЕОМ і ліній зв'язку,

- Наведень зловмисником небезпечного сиг налу на лінії зв'язку, ланцюги заземлення та електроживлення,

- Акустичних сигналів,

- Через вмонтовані радіозакладки, знімання інформації з погано стертих дискет, стрічки принтера.

Основним джерелом високочастотного електромагнітного випромінювання є дисплей. Картинку дисплея можна вловити і відтворити на екрані іншого дисплея на відстані 200 - 300 м. Друкуючі пристрої всіх видів випромінюють інформацію через з'єднувальні дроти. Однак основним винуватцем втрати електронної інформації завжди є людина.

Захист даних повинна забезпечуватися на всіх технологічних етапах обробки інформації і в усіх режимах функціонування, у тому числі при проведенні ремонтних і регламентних робіт. Програмно-технічні засоби захисту не повинні суттєво погіршувати основні функціональні характеристики ЕОМ (надійність, швидкодія).

Організація системи захисту інформації включає:

- Захист кордонів території, що охороняється,

- Захист ліній зв'язку між ЕОМ в одному приміщенні,

- Захист ліній зв'язку в різних приміщеннях, захист ліній зв'язку, що виходять за межі зони, що охороняється (території).

Захист інформації включає ряд певних груп заходів:

- Заходи організаційно-правового характеру: режим і охорона приміщень, ефективне діловодство за електронним документам - Внемашинная захист інформації, під бір персоналу,

- Заходи інженерно-технічного характеру: місце розташування ЕОМ, екранування приміщень, ліній зв'язку, створення перешкод і ін,

- Заходи, які вирішуються шляхом програмування: регламентація права на доступ, огородження від вірусів, стирання інформації при несанкціонованому доступі, кодування інформації, що вводиться в ЕОМ,

- Заходи апаратного захисту: відключення ЕОМ при помилкових діях користувача або спробу несанкціонованого доступу.

Приміщення, в яких відбувається обробка інформації на ЕОМ, повинні мати апаратуру протидії технічним засобам промислового шпигунства. Мати сейфи для зберігання носіїв інформації, мати безперебійне електроживлення і кондиціонери, обладнані засобами технічного захисту.

Комплекс програмно-технічних засобів і організаційних (процедурних) рішень щодо захисту інформації від несанкціонованого доступу складається з чотирьох елементів:

- Управління доступом;

- Реєстрації та обліку;

- Криптографічного;

- Забезпечення цілісності.

Правильна організація доступу - управління доступом до конфіденційної інформації є найважливішою складовою частиною системи захисту електронної інформації. Реалізація системи доступу як до традиційних, так і електронних документів грунтується на аналізі їх змісту, яке є головним критерієм однозначного визначення: хто з керівників, кому з виконавців (працівників), як, коли і з якими категоріями документів дозволяє знайомитися чи працювати. Будь-яке звернення до конфіденційного документу, ознайомлення з ним у будь-якій формі (у тому числі випадкове, несанкціоноване) обов'язково фіксується в обліковій картці документа і на самому документі у вигляді відповідної відмітки і підписи осіб, які зверталися до документа. Цей факт зазначається також у картці обліку обізнаності співробітника в таємниці фірми.

Організовуючи доступ співробітників фірми до конфіденційних масивів електронних документів і баз даних, необхідно по мнить про його багатоступеневому характері. Можна виділити наступні головні складові частини доступу цього виду:

- Доступ до персонального комп'ютера, сер віру або робочої станції;

- Доступ до машинних носія інформації, що зберігається поза ЕОМ;

- Безпосередній доступ до баз даних і файлів.

Доступ до персонального комп'ютера, сер віру або робочої станції, які використовуються для обробки конфіденційної ін формації, передбачає:

- Визначення та регламентацію першим керівником фірми складу співробітників, що мають право доступу (входу) до приміщення, в якому знаходиться відповідна обчислювальна техніка, засоби зв'язку;

- Регламентацію першим керівником тимчасового режиму перебування цих осіб у зазначених приміщеннях; персональне і тимчасове протоколювання (фіксування) керівником підрозділу або напряму діяльності фірми наявності дозволу та періоду роботи цих осіб у інший час (на приклад, у вечірні години, вихідні дні та ін) ;

- Організацію охорони цих приміщень в робочий і неробочий час, визначення правил відкриття приміщень і відключення охоронних технічних засобів інформування і сиг налізірованія; визначення правил постановки приміщень на охорону; регламентацію роботи зазначених технічних засобів в робочий час;

- Організацію контрольованого (в необхідних випадках пропускного) режиму входу в зазначені приміщення і виходу з них;

- Організацію дій охорони і персоналу в екстремальних ситуаціях або при аваріях техніки і обладнання приміщень;

- Організацію виносу із зазначених приміщень матеріальних цінностей, машинних та паперових носіїв інформації; контроль вносяться до приміщення і виносяться персоналом особистих речей.

Безпека інформації в ЕОМ та локальної мережі потребує ефективного взаємозв'язку машинної та внемашинной захисту конфіденційних відомостей. У зв'язку з цим, важливе актуальне значення має захист технічних носіїв конфіденційної інформації (машинозчитуваних документів) на внемашинной стадіях їх обліку, обробки та зберігання. Саме на цих стадіях особливо велика ймовірність втрати машіночітаемо го документа. Подібна проблема несуттєва для носіїв, що містять відкриту інформацію. В основі забезпечення збереження носіїв електронних конфіденційних документів, що знаходяться поза машиною, в даний час ефективно використовуються зарекомендували себе принципи та методи забезпечення безпеки документів у традиційній технологічній системі.

Перед початком обробки інформації на ЕОМ співробітник зобов'язаний переконатися у відсутності в приміщенні сторонніх осіб. При підході такої особи до співробітника екран дисплея поділ дружин бути негайно погашений.

У кінці робочого дня виконавці зобов'язані перенести всю конфіденційну інформацію з комп'ютера на гнучкі носії інформації, стерти інформацію з жорстких дисків, перевірити наявність всіх конфіденційних документів (на паперових, магнітних та інших носіях), переконатися в їх комплектності і здати в службу КД. Залишати конфіденційні документи на робочому місці не дозволяється. Не допускається також зберігання на робочому місці виконавця копій конфіденційних документів.

Особам, які мають доступ до роботи на ЕОМ, забороняється:

- Розголошувати відомості про характер автоматизованої обробки конфіденційної інформації та змісті використовуваної для цього документації,

- Знайомитися з зображеннями дисплея поруч працюючих співробітників або користуватися їхніми магнітними носіями без дозволу керівника підрозділу,

- Розголошувати відомості про особисті паролі, що використовуються при ідентифікації та захисту масивів інформації,

- Залишати магнітні носії конфіденційної інформації без контролю, приймати або передавати їх без розпису в облік іншої формі, залишати ЕОМ із завантаженою пам'яттю безконтрольно,

- Користуватися неврахованими магнітними носіями, створювати невраховані копії документів.

Після виготовлення паперового варіанту документа його електронна копія стирається, якщо вона не додається до документа або не зберігається в довідкових цілях. Відмітки про знищення електронної копії вносяться в облікові картки документа і носія і завіряються двома розписами.

Зберігання магнітних носіїв і електронних документів має здійснюватися в умовах, що виключають можливість їх розкрадання, приведення в непридатність або знищення міститься в них, а також відповідно до технічних умов заводу-виготовлювача. Носії зберігаються у вертикальному положенні в спеціальних осередках металевої шафи або сейфа. Номери на комірках повинні відповідати обліковими номерами носіїв. Неприпустимо вплив на носії теплового, ультрафіолетового і магнітного випромінювань.

Магнітні носії, що містять конфіденційну інформацію, що втратила своє практичне значення, знищуються за актом з наступною відміткою в облікових фор мах.

З метою контролю та підтримання режиму при обробці інформації на ЕОМ необхідно:

- Періодично проводити перевірки наявності електронних документів і складу баз даних,

- Перевіряти порядок ведення обліку, зберігання та поводження з магнітними носіями і електронними документами,

- Систематично проводити виховну роботу з персоналом, що здійснює обробку конфіденційної інформації на ЕОМ,

- Реально підтримувати персональну відповідальність керівників і співробітників за дотримання вимог роботи з конфіденційною інформацією на ЕОМ,

- Здійснювати дії щодо максимального обмеження кола співробітників, які допускаються до оброблюваної на ЕОМ конфіденційної інформації та права входу в приміщення, в яких розташовуються комп'ютери, для обробки цієї інформації.

3.5 Контроль захисту інформації

Взаєморозуміння між керівництвом фірми і працівниками не означає повної свободи в організації робочих процесів і бажання виконувати або не виконувати вимоги щодо захисту конфіденційної інформації. З цією метою керівникам всіх рангів і службі безпеки слід організувати регулярне спостереження за роботою персоналу в частині дотримання ними вимог щодо захисту інформації.

Основними формами контролю можуть бути:

- Атестація працівників;

- Звіти керівників підрозділів про роботу підрозділів і стан системи захисту інформації;

- Регулярні перевірки керівництвом фірми і службою безпеки дотримання працівниками вимог щодо захисту інформації;

- Самоконтроль.

Атестація працівників є однією з найбільш дієвих форм контролю їх діяльності як в професійній сфері (старанність, відповідальність, якість і ефективність виконуваної роботи, професійний кругозір, організаторські здібності, відданість справі організації і т. д.), так і у сфері дотримання інформаційної безпеки фірми .

У частині дотримання вимог щодо захисту інформації перевіряється знання працівником відповідних нормативних та інструктивних документів, вміння застосовувати вимоги цих документів у практичній діяльності, відсутність порушень у роботі з конфіденційними документами, вміння спілкуватися із сторонніми особами, не розкриваючи секретів фірми і т.д.

За результатами атестації видається наказ (розпорядження), в якому відображаються рішення атестаційної комісії про заохочення, переатестації, підвищення на посаді або звільнення співробітників. Атестаційна комісія може також виносити ухвалу про відсторонення працівника від роботи з інформацією та документами, складовими секрети фірми.

Іншою формою контролю є заслуховування керівників структурних підрозділів і керівника служби безпеки на нараді у першого керівника фірми про стан системи захисту інформації і ви виконанні її вимог працівниками підрозділів. Одночасно на нараді приймаються рішення за фактами порушення працівниками встановлених правил захисту секретів фірми.

Формою контролю є також регулярні перевірки виконання співробітниками (в тому числі добре працюють) правил роботи з конфіденційною інформацією, документами і базами даних.

Перевірки проводяться керівниками структурних підрозділів та напрямків, заступниками першого керуєте ля і працівниками служби безпеки.

Перевірки можуть бути плановими і позаплановими (раптовими). Раптові перевірки проводяться при виникненні найменшої підозри про розголошення або витоку інформації.

Самоконтроль полягає у перевірці самими керівниками і виконавцями повноти і правильності виконання ними діючих інструктивних положень, а також негайного інформування служби безпеки і безпосереднього керівника про факти втрати документів, втрати з якої-небудь причини цінної інформації, розголошення особисто або іншими співробітниками відомостей, що становлять секрети фірми, порушення працівниками порядку захисту інформації.

При роботі з персоналом фірми слід зосереджувати увагу не тільки на співробітниках, що працюють з конфіденційною інформацією. Під контролем повинні знаходитися також особи, які не мають доступу до секретів фірми. Слід враховувати, що ці працівники можуть бути посередниками в діях зловмисника: у проведенні електронного шпигунства, створення умов для розкрадання документів, зняття з них копій і т.п.

Крім того, необхідно пам'ятати, що працівники, які володіють конфіденційною інформацією, змушені діяти в рамках вимог, регламентованих інструкцією щодо забезпечення режиму конфіденційності. Обмеження свободи людини у використанні інформації може призводити до стресів, нервових зривів. Збереження чогось у таємниці суперечить потреби чоло століття в спілкуванні шляхом обміну інформацією. У зв'язку з цим особливо важливо, що б психологічний настрій колективу і окремих працівників завжди знаходився в центрі уваги керівництва фірми та служби безпеки.

У разі встановлення фактів невиконання будь-яким з керівників чи працівників вимог щодо захисту ін формації до них в обов'язковому порядку повинні застосовуватися заходи осуду і покарання відповідно до правил внутрішнього трудового розпорядку. Важливо, щоб покарання було невідворотним і своєчасним, незважаючи на посадовий рівень працівника і його взаємовідносини з керівництвом фірми.

Одночасно з винною особою відповідальність за розголошення відомостей, що становлять секрети фірми, несуть керівники фірми і її структурних під розділень, напрямків діяльності, філій, тому що вони повністю відповідають за розробку та реалізацію заходів, що забезпечують інформаційну безпеку всіх видів діяльності фірми.

Інформаційна база для контролю роботи персоналу, що володіє конфіденційною інформацією, формується на основі аналізу ступеня обізнаності працівників у секрети фірми. Ця робота входить до складу комплексного аналітичного дослідження з пошуку і виявлення каналів втрати персона лом конфіденційної інформації.

Об'єктами комплексного аналітичного дослідження є: виявлення, класифікація та постійне вивчення джерел і об'єктивних каналів розповсюдження конфіденційної інформації, а також виявлення і аналіз ступеня небезпеки джерел загрози інформації. Важливий превентивний контроль безпеки цінної інформації.

Одночасно підлягають спеціальному (екстремального) обліку всі помічені несанкціоновані або помилкові дії персоналу з документами та інформацією, порушення системи доступу до інформації та правил роботи з конфіденційними документами і базами електронних даних. Подібні факти підлягають оперативному, ретельному порівняльному аналізу, а результати аналізу повинні доповідатися безпосередньо першому керівнику фірми.

З метою превентивного контролю рекомендуються такі облікові та аналітичні дії по відношенню до персоналу, який має або може мати конфіденційною інформацією:

- Аналіз реального складу відомої персоналу конфіденційної інформації та динаміки її розподілу по структурних підрозділах фірми;

- Аналіз ступеня володіння конфіденційною інформацією керівництвом фірми, керівниками структурних під розділень, напрямків діяльності і кожним працівником, тобто врахування рівня і динаміки їх реальної обізнаності у секретах фірми;

- Аналіз виявлених потенційних і реальних джерел загрози персоналу в цілому і кожному окремому працівникові з метою заволодіти цінною інформацією фірми (конкурентів, суперників, кримінальних структур і окремих злочинних елементів);

- Аналіз ефективності захисних заходів, вжитих по відношенню до персоналу, їх дієвості в звичайних умовах і при активних діях зловмисника.

Своєчасний облік складу конфіденційної інформації, відомої кожному з працівників фірми, є найбільш інформативною частиною аналітичної роботи в цілому. Враховуються будь-які контакти будь-якого працівника фірми з конфіденційними даними, як санкціоновані, так і випадкові (помилкові). Підлягає також обліку ви явлене несанкціоноване ознайомлення з інформацією, до якої працівник не мав дозволу на доступ, в тому числі несанкціоноване ознайомлення з інформацією працівника, по загально не має допуску для роботи з конфіденційною інформацією.

Для обліку та подальшого аналізу ступеня обізнаності працівників у секрети фірми ведеться спеціальна облікова форма.

Традиційна (карткова) або електронна облікова форма повинна містити ряд предметних зон, дозволяють зіставляти функціональні обов'язки співробітника і склад конфіденційної інформації, отриманої співробітником, і який повинен відповідати виконуваним видів роботи. Доцільно включити до облікову форму такі зони:

- Зона штатних функціональних обов'язків працівника, при реалізації яких використовується конфіденційна інформація (за затвердженою посадової інструкції);

- Зона змін і доповнень, внесених до функціональних обов'язків працівника, з зазначенням документа-підстави, його дати і прізвища керівника, який підписав документ;

- Зона стандартного складу конфіденційні відомостей або їх індексів, за переліком конфіденційної інформації фірми, до яких допущений працівник відповідно до посадової інструкції (із зазначенням найменування документа про допуск, його дати, номери та прізвища керівника, який підписав документ);

- Зона змін і доповнень у складі конфіденційних відомостей, до яких допускається працівник у зв'язку з переглядом його посадових обов'язків (із зазначенням найменувань і дат документів про допуск, прізвищ керівників, які підписали документи);

- Зона документованої інформації (документів), з якою знайомиться або працює співробітник, з зазначенням найменувань документів, їх дат і номерів, короткого змісту, цільового використання містяться в документах конфіденційних відомостей або їх індексів за переліком, прізвищ керівників, які дозволили роботу з документами;

- Зона недокументированно конфіденційної інформації, яка стала відома працівникові, із зазначенням дати і цілі ознайомлення, прізвища керуй теля, який дозволив ознайомлення, зі става конфіденційних відомостей або їх індексів за переліком;

- Зона виявленого несанкціонованого ознайомлення працівника з конфіденційною інформацією із зазначенням дати ознайомлення, умов або причин ознайомлення, прізвища винного працівника, місця ознайомлення, зі става конфіденційних відомостей або їх індексів за переліком.

Аналіз здійснюється порівнянням змісту записів в зонах та індексів відомої співробітнику конфіденційної інформації, тобто ведеться пошук не відповідності.

За фактами розголошення або витоку конфіденційної інформації, втрати документів та виробів, інших грубих порушень правил захисту інформації організовується службове розслідування.

Службове розслідування проводить спеціальна комісія, яка формується наказом першого керівника фірми. Розслідування призначено для з'ясування причин, всіх обставин та їх наслідків, пов'язаних з конкретним фактом, встановлення кола винних осіб, розміру заподіяної шкоди фірмі. За результатами розслідування даються рекомендації щодо усунення причин події.

План проведення службового рас прямування:

- Визначення можливих версій того, що сталося (втрата, викрадення, знищення з необережності, навмисна передача відомостей, необережне розголошення і т.д.);

- Визначення (планування) конкретних заходів з перевірки версій (огляд приміщень, поаркушно перевірка документації, опитування співробітників, взяття письмового пояснення у підозрюваної особи і т. д.);

- Призначення відповідальних осіб за проведення кожного заходу;

- Зазначення строків проведення кожного заходу;

- Визначення порядку документування;

- Узагальнення і аналіз виконаних дій по всім заходам;

- Встановлення причин втрати інформації, винних осіб, виду і обсягу шкоди;

- Передача матеріалів службового рас прямування до прикінцевих виведення ми першому керівнику фірми для прийняття рішення.

При проведенні службового розслідування всі заходи обов'язково документуються з метою подальшого комплексного аналізу виявленого факту. Зазвичай аналізуються такі види документів:

- Письмові пояснення опитуваних осіб, що складаються в довільній формі;

- Акти перевірки документації і приміщень, де вказуються прізвища проводили перевірку, їх посади, обсяг і види проведеного огляду, результати, вказуються підписи цих осіб і дата;

- Інші документи, пов'язані з розслідування (довідки, заяви, плани, анонімні листи і т. д.).

Службове розслідування проводиться в найкоротші терміни. За результатами аналізу складається висновок про результати проведеного службового рас проходження, в якому детально описується проведена робота, вказуються причини і умови, що трапилося і повний аналіз того, що сталося.

3.6 Правові аспекти застосування поліграфа

В даний час в Україні використання поліграфа законом не заборонено. Отримання ліцензії на його придбання і використання не вимагається.

Є різні відомчі корпоративні акти, регламенти, інструкції, що стосуються застосування поліграфа. При цьому на пряме законодавче регулювання використання поліграфа в діяльності державних і комерційних структур відсутня. Однак аналіз російського законодавства дає привід стверджувати про наявність серйозних і правомочних підстав використання поліграфа в приватному секторі. Можна впевнено констатувати, що сьогодні не існує будь-яких правових бар'єрів для широкого застосування перевірок на поліграфі в інтересах кадрового відбору.

Згідно з нині чинним Трудовому кодексу РФ, роботодавець має право вводити обмеження або робити перевагу при прийомі на роботу, виходячи з вимог, властивих певному виду праці або службової діяльності.

Крім цього Трудовий кодекс РФ надає право роботодавцю збирати персональні дані працівника - інформацію, що стосується конкретного працівника і необхідну роботодавцю у зв'язку з трудовими відносинами (Глава 14, ст. 85-90). У цій же главі вперше вводиться поняття персональних даних працівника, дається визначення процедур обробки даних (ст. 85 ТК РФ): «Персональні дані працівника - інформація, необхідна роботодавцю у зв'язку з трудовими відносинами і що стосується конкретного працівника. Обробка персональних даних працівника - отримання, зберігання, комбінування, передача або будь-яке інше використання персональних даних працівника ». Сюди ж можна віднести і дані, отримані за допомогою тестування на поліграфі.

У ст. 86 ТК РФ (п.п.1, 3, 4, 5, 8) встановлені обмеження у постановці питань, що стосуються політичних, релігійних переконань, приватного життя, відповіді на які роботодавець одержує за допомогою обробки персональних даних. Трудовий кодекс РФ передбачає добровільність надання працівником таких даних, ознайомлення з ними, письмову згоду на передачу таких даних роботодавцю, заборона отримувати такі дані через третіх осіб без письмової згоди працівника.

Отримання персональних даних працівника, як це випливає зі статей Трудового кодексу РФ, здійснюється від нього самого, і необхідно роботодавцю для вирішення питань про «працевлаштуванні, просуванні по службі, забезпечення особистої безпеки працівників, забезпечення збереження майна».

Згідно з коментарем до нового Трудового кодексу РФ, метод тестування (яким, по суті, і є перевірка на поліграфі), визнається одним із сучасних методів організації підбору і розстановки кадрів (глава 11 ТК РФ «Укладення трудового договору»). Тому, в належному відповідно до Трудового кодексу є включення у Трудовий договір положення про те, що працівник «зобов'язаний активно сприяти проводяться роботодавцем службовим розглядів і, в разі необхідності, проходити опитування з використанням поліграфа». Отже, внесення зазначених вище положень у трудові договори і локальні правові нормативні акти роблять застосування поліграфа державними та недержавними користувачами цілком легітимним в рамках чинного вітчизняного законодавства. У зв'язку з цим питання - «Застосовувати або не застосовувати поліграф при роботі з кадрами?» - Носить вже не стільки правовий, скільки емоційний характер.

Поліграф є, згідно з чинним Трудовому кодексу РФ, законним при дотриманні певних норм. Згідно з цими нормами, проведення опитування на поліграфі - акт суто добровільний, і ніхто не має права насильно змусити людину проходити його. Перед початком перевірки на поліграфі тестований повинен дати свою письмову згоду на це. До того ж слід використовувати тільки ті прилади, які мають відповідний сертифікат, і не завдають шкоди здоров'ю і психологічному стану обстежуваних, окрім цього важливо залучати до роботи на поліграфі тільки навчених фахівців. І ще раз треба підкреслити: опитувані обов'язково повинні бути ознайомлені зі своїми правами перед початком обстеження.

Основна ідея, покладена в основу роботи поліграфа, полягає в тому, що наша свідомість спочатку запрограмоване на правду, тільки правду і нічого, крім правди. Саме тому коли ми брешемо, виникає емоційний дискомфорт (стрес), який виражається в певних фізіологічних реакціях, які можна фіксувати і об'єктивно вимірювати в зв'язку з тим, що свідомий контроль вегетативних функцій, пов'язаних з переживанням тих чи інших емоцій здебільшого неможливий.

Будь-яка життєво важлива для людини інформація - «вбив - не вбив», «вкрав - не вкрав», «брав наркотики - не приймав» і так далі - завжди відкладається в його пам'яті. Тому «мішенню» для поліграфа є пам'ять опитуваного особи.

Завдання поліграфа зводиться до того, що б визначити чи володіє обстежуваної певною інформацією чи ні. При цьому, чим важливіше для людини будь-яка інформація, тим більше його стрес при спробі цю інформацію приховати.

Зрозуміло, що поліграф ефективний тільки в тому випадку, якщо випробуваний усвідомлює можливість викриття - це якраз і створює той самий стрес, контролювати який людина не може і на який реагує прилад.

Підводячи підсумок даної главі, хотілося б відзначити, що норми глави 14 ТК РФ, які зобов'язують роботодавця створити і ввести в дію положення про захист персональних даних працівника, діють вже більше чотирьох років, але, незважаючи на це, багато роботодавців стикаються з труднощами при створенні даного локального нормативного акту. Даний локальний акт повинен містити:

• Положення про захист персональних даних працівників.

• Розписку про ознайомлення працівника з Положенням про захист персональних даних.

• Зобов'язання про нерозголошення персональних даних працівників.

• Письмова згода працівника на отримання його персональних даних у третіх осіб.

• Повідомлення.

• Згода працівника на обробку його персональних даних.

• Запит про доступ працівника до своїх персональних даних.

• Повідомлення про знищення, (зміну, припинення обробки, усунення порушень персональних даних).

4. Відповідальність за порушення правил роботи з персональними даними

Стаття 90 ТК РФ передбачає відповідальність за порушення норм, що регулюють отримання, обробку і захист персональних даних працівника. Порушник може нести дисциплінарну, адміністративну, цивільно-правову та кримінальну відповідальність.

Табліца.2.Тіпічние порушення, що тягнуть кримінальну та адміністративну відповідальність

Характер порушення	Типові приклади	Норми відповідальності
Збір інформації без згоди працівника	Застосування негласного відеоспостереження і прослуховування Перегляд електронної та паперової кореспонденції без попередження	Ст.ст. 137, 138 КК РФ Ст. 138 КК РФ
Збір інформації, що не стосується трудових відносин	Встановлення засобів спостереження в будинку працівника, ведення стеження в публічних місцях і т.д.	Ст.ст. 137, 139 КК РФ
Порушення встановленого порядку збору інформації	Перевищення приватним детективним агентством своїх повноважень Перевищення охоронно-розшукним підрозділом підприємства своїх повноважень	Відкликання ліцензії Ст.ст. 137, 138 КК РФ
Порушення встановленого порядку використання інформації	Відмова працівникові в доступі до його персональних даних Умисне поширення інформації про приватне життя працівника Недбале поводження з персональними даними, невжиття заходів до забезпечення їх конфіденційності	Ст. 140 КК РФ Ст. 137 КК РФ або ст. 13.14 КоАП РФ (якщо відомості не становлять сімейну і особисту таємницю) Ст. 13.11 КоАП РФ

4.1 Кримінальна відповідальність

Найсуворіший, звичайно, кримінальна відповідальність. Стаття 137 КК РФ передбачає покарання за незаконне збирання або розповсюдження відомостей про приватне життя особи, що складають його особисту і сімейну таємницю. Кримінальна відповідальність загрожує в тому випадку, якщо ці дії вчинені навмисно, з корисливої ​​або іншої особистої зацікавленості і спричинили за собою порушення законних прав і свобод громадян. Причому покарання посилюється, якщо винний використовував своє службове становище.

Особисту або сімейну таємницю становлять відомості, які не підлягають, на думку особи, якої вони стосуються, оприлюдненню. Особисте і сімейну таємницю не можуть складати відомості, які були раніше опубліковані або оголошені іншим способом.

Порушення недоторканності приватного життя (ст. 137 КК) може виражатися в:

а) незаконному збиранні відомостей про приватне життя;

б) незаконне їх поширення;

в) незаконне їх поширення в публічному виступі, публічно демонструються твори або засобах масової інформації.

Закон не пов'язує відповідальність за незаконне поширення відомостей про приватне життя особи з конкретним способом розповсюдження. Під поширенням мається на увазі будь-яка незаконна передача зазначених відомостей третім особам. Незаконним поширенням є розголошення особистої чи сімейної таємниці особою, зобов'язаним її зберігати в силу своєї професії. У деяких випадках розголошення відомостей про приватне життя за КК утворює одночасно склад іншого злочину наприклад, розголошення таємниці усиновлення (ст. 155), В таких випадках вчинене кваліфікується за сукупністю зі ст. 137 КК.

Обов'язковим елементом об'єктивної сторони злочину, передбаченого ст. 137 КК, є заподіяння шкоди правам і законним інтересам громадян. Характер шкоди закон не обмежує. Він може бути:

а) матеріальним (майновим), наприклад втрата добре оплачуваної роботи, зрив вигідної угоди, інші збитки у підприємницькій діяльності;

б) фізичним (тілесним), наприклад захворювання від пережитого;

в) моральним, наприклад розпад сім'ї, підрив репутації.

Встановлення наявності шкоди правам і законним інтересам потерпілого проводиться в кожному конкретному випадку з урахуванням індивідуальних особливостей особистості і ситуації.

Порушення недоторканності приватного життя вважається закінченим злочином тільки з моменту заподіяння відповідного шкоди (матеріальний склад).

Суб'єктивна сторона цього злочину характеризується прямим умислом. Обов'язковим елементом суб'єктивної сторони є мотив: корислива чи інша особиста зацікавленість. Корислива зацікавленість виражається в прагненні придбати матеріальну (майнову) вигоду за рахунок потерпілого або у вигляді винагороди від третьої сторони. Інша особиста зацікавленість може полягати у прагненні дискредитувати конкурента, зробити кар'єру, помститися за що-небудь, продемонструвати свою перевагу або привернути увагу до себе.

Відповідальність за ч. 1 ст. 137 КК несе будь-яка фізична осудна особа, яка досягла 16 років (загальний суб'єкт), а за ч. 2 ст. 137 КК - посадова особа або службовець державного або муніципального установи, що використовує для вчинення злочину своє службове становище (спеціальний суб'єкт).

А якщо кадровик або керівник допустили ситуацію, коли інформація про працівника стала відома іншим, ненавмисно? Або навіть існує поки тільки загроза "витоку" такої інформації? Тоді в хід можуть піти заходи адміністративної і дисциплінарної відповідальності, які застосовуються до посадових осіб підприємства.

Цивільно-правова відповідальність за обмеження приватності можлива, як правило, в порядку відшкодування моральної шкоди (ст.ст.151, 1099-1101 ГК РФ). У силу сформованих у судовій практиці підходів працівнику буде неважко довести, що будь-які дії з негласного спостереження і збору інформації без його згоди завдають йому моральну шкоду. У разі ж, якщо розголошення конфіденційної інформації про громадянина спричинило шкоду його діловій репутації та майновим інтересам, він має право зажадати й відшкодування майнових втрат.

4.2 Адміністративна відповідальність

Адміністративні штрафи. Порушення правил роботи з персональними даними може спричинити адміністративну відповідальність роботодавця або його представників. Кодекс РФ про адміністративні правопорушення містить на цей рахунок дві статті.

Стаття 13.11 передбачає відповідальність у вигляді попередження або накладення штрафу на роботодавця в розмірі від 5 до 10 МРОТ за порушення встановленого порядку збирання, зберігання, використання або поширення інформації про громадян (персональних даних). Цей порядок встановлено главою 14 Трудового кодексу РФ і локальними нормативними актами підприємства.

Об'єктивна сторона даного правопорушення складається в дії або бездіяльності, що порушує встановлений законом порядок збирання, зберігання, використання або поширення інформації про громадян (персональних даних). Вина у скоєнні даного правопорушення може бути як умисною, так і необережною.

З огляду на те, що персональні дані - один з видів охороняється законом таємниці, захист її конфіденційності передбачена також статтею 13.14 КоАП РФ. Якщо особа, яка отримала доступ до такої інформації у зв'язку з виконанням службових або професійних обов'язків, розголосила відомості, що становлять персональні дані, то адміністративний штраф для нього буде становити від 40 до 50 МРОТ.

Об'єктом правопорушення, передбаченого даною статтею, є порядок отримання інформації з обмеженим доступом.

Об'єктивна сторона даного правопорушення складається в дії, представляє собою розголошення інформації, доступ до якої обмежується федеральним законом (за винятком випадків, якщо розголошення такої інформації тягне за собою кримінальну відповідальність), особою, яка одержала доступ до такої інформації у зв'язку з виконанням службових або професійних обов'язків.

Віднесення інформації до конфіденційної здійснюється в порядку, встановленому галузевим законодавством Російської Федерації (цивільним, адміністративним і т.д.).

Вина у скоєнні даного правопорушення може бути як умисною, так і необережною.

До адміністративної відповідальності роботодавця або його представників може залучити Рострудінспекція або суд.

4.3 Дисциплінарна відповідальність

Дисциплінарна відповідальність кадровика. Стосовно співробітника-кадровика роботодавець вправі застосувати одне з дисциплінарних стягнень, передбачених статтею 192 Трудового кодексу РФ: зауваження, догана, звільнення. Більше того, кодекс передбачає спеціальну підставу для розірвання трудового договору з ініціативи роботодавця у випадку розголошення охоронюваної законом таємниці, що стала відомою працівникові у зв'язку з виконанням ним трудових обов'язків (п.п. "в" п.6 ст.81).

Дисциплінарна відповідальність працівників є самостійним видом юридичної відповідальності. До дисциплінарної відповідальності можуть залучатися працівники, які вчинили дисциплінарний проступок.

Як і будь-яке інше правопорушення, дисциплінарний проступок володіє сукупністю ознак: суб'єкт, суб'єктивна сторона, об'єкт, об'єктивна сторона.

Суб'єктом дисциплінарного проступку може бути громадянин, знаходиться в трудових правовідносинах з конкретною організацією і порушує трудову дисципліну.

Суб'єктивною стороною дисциплінарного проступку виступає вина з боку працівника. Вона може бути у формі умислу або з необережності.

Об'єкт дисциплінарного проступку - внутрішній трудовий розпорядок конкретної організації. Об'єктивною стороною тут виступають шкідливі наслідки і прямий зв'язок між ними і дією (бездіяльністю) правопорушника.

Відповідно до укладеного трудовим договором роботодавець вправі вимагати від працівника виконання трудових обов'язків. Згідно зі ст. 192 Кодексу роботодавець має право, але не зобов'язаний залучати до дисциплінарної відповідальності працівника, який вчинив дисциплінарний проступок. Однак слід знати, що цим Кодексом, іншими федеральними законами, статутами і положенням про дисципліну можуть бути визначені й інші правила при здійсненні дисциплінарного проступку.

Розголошення може бути скоєно серед колег, знайомих, родичів та інших осіб, які не мають законного доступу до них. Крім розголошення основними видами порушень правил роботи з персональними даними є незаконне отримання або використання відомостей, що становлять персональні дані, і втрата матеріальних носіїв, що містять дану інформацію. Слід підкреслити, що звільнення працівника може бути здійснено тільки за розголошення персональних даних. В інших випадках роботодавець вправі накласти на винну особу інше дисциплінарне стягнення.

До дисциплінарної відповідальності можуть бути притягнуті лише ті працівники кадрової служби, які взяли на себе зобов'язання дотримуватися правил роботи з персональними даними. Тобто умова про нерозголошення відомостей, що становлять персональні дані, було включено у тому трудовий договір, вони були ознайомлені з локальними нормативними актами з питання захисту цієї конфіденційної інформації, а роботодавець створив для роботи всі необхідні умови. Якщо така підготовча робота не була проведена, то фахівець, кому довірено робота з персональними даними, нести відповідальності не буде.

Факт порушення правил роботи з персональними даними може бути встановлений представником роботодавця (наприклад, начальником відділу кадрів), самим працівником або фахівцем Рострудинспекции.

Працівники та їх представники мають право здійснювати контроль над виконанням вимог щодо захисту конфіденційності цієї категорії інформації, забороняти або припиняти обробку персональних даних у разі їх невиконання. Будь-які неправомірні дії (бездіяльність) роботодавця при обробці та захисту персональних даних працівник має право оскаржити в судовому порядку.

Висновок

Сьогодні багато підприємств, прагнучи забезпечити інформаційну безпеку своєї комерційної діяльності, підкріплюють формальні заходи (такі як підписання договорів про нерозголошення інформації) практичними заходами охоронного характеру, в рамках яких тим чи іншим чином порушується недоторканність приватного життя працівників. І тут інтереси бізнесу можуть вступати в конфлікт із принципом неприпустимість втручання у приватне життя.

Конституція України закріпили свободу пошуку, отримання, передачі, виробництва і розповсюдження інформації (ч. 4 ст. 29), гарантувала право на недоторканність приватного життя, особисту, сімейну таємницю, таємницю повідомлень і заборонила розповсюдження інформації про приватне життя особи без її згоди (ст . ст. 23, 24). Життєдіяльність людини передбачає надання інформації про себе іншим членам суспільства. Відносини з надання та охорону інформації регулюються нормами російського права.

Таким чином, проаналізувавши ситуацію з приводу охорони персональних даних працівника, можна зробити наступні висновки.

1. Особиста таємниця працівника охороняється законом на самому високому рівні. Законодавець передбачив практично всі необхідні норми для захисту цієї категорії правовідносин. Однак слід зауважити, що основним джерелом правопорушень у сфері охорони персональних даних персоналу служить неграмотність працівників кадрових служб у зазначених питаннях, викликана, тим, що нормативно не відрегульований порядок організації діяльності по збереженню персональних даних в організаціях і на підприємствах.

2. Не існує обов'язкових правил зберігання персональних даних. Звичайно, не можна не сказати, що Рострудінспекція при проведенні перевірок вимагає дуже вагомі докази збереження зазначених відомостей.

3. Норми глави 14 Трудового кодексу «Захист персональних даних працівника» носять скоріше інструктивний характер, регламентують збір і зберігання інформації про працівника.

Здається, що Уряду РФ слід було б розробити і затвердити правила, що регулюють порядок зберігання та використання персональних даних на підприємстві і в організаціях.

4. Особи, винні у порушенні встановлених норм, що регулюють отримання, обробку і захист персональних даних працівників, несуть дисциплінарну, адміністративну, цивільно-правову або кримінальну відповідальність.

Треба зазначити, що санкції, передбачені за порушення законодавства з охорони персональних даних працівника досить адекватні і відповідають мірі правопорушення за нього. Але санкції швидше відновлюють справедливість, ніж знижують кількість правопорушень.

5. Усі механізми збору інформації про працівників повинні застосовуватися тільки на підставі прийнятих в належному порядку внутрішньоорганізаційні норм. Використання відеоспостереження, прослуховування, контролю за листуванням, контролю за переміщеннями працівників по підприємству та інших заходів має бути врегульовані правилами внутрішнього розпорядку або спеціальним регламентом. Цей документ повинен бути доступний всім працівникам підприємства. Всі заходи спостереження та контролю, не врегульовані таким документом, можуть розглядатися працівниками як незаконне вторгнення в їхнє приватне життя. Якщо на підприємстві діє служба безпеки (як відокремлений підрозділ), її права слід чітко вказати в статуті цього підрозділу, який повинен бути погоджений з органами внутрішніх справ (ст.14 Закону РФ «Про приватної детективної й охоронної діяльності в РФ»).

6. Необхідно отримувати згоду працівників на обмеження їх приватності. Це можна зафіксувати безпосередньо в трудовому договорі. Однак працівник, що приступає до роботи, в будь-якому випадку повинен підписати документ про згоду на застосування заходів спостереження або контролю; його слід під розписку ознайомити з діючими правилами збору та обробки персональних даних. Слід врахувати також, що такі нематеріальні блага, як честь і гідність, особиста і сімейна таємниця, є невідчужуваними (ст. 150 ГК РФ, п. 9 ст. 86 ТК РФ), отже, згоду на застосування заходів, які б честь і гідність працівника і обмежують його право на таємницю, буде у випадку конфлікту визнано недійсним.

7. Зібрана інформація повинна стосуватися виключно службової діяльності працівника і не зачіпати його приватне життя. Крім забезпечення інтересів працівника, метою збору персональних даних може бути лише контроль за кількістю і якістю роботи, а також за збереженням майна. Тому, наприклад, контроль за електронною перепискою зі службового електронної адреси, хоча і допустимо, але все ж таки повинен обмежуватися реєстрацією адресатів і не торкатися змісту пересилаються. Це ж стосується телефонних ліній та інших засобів сполучення. Використання службового майна і службових засобів зв'язку в особистих цілях може спричинити дисциплінарне стягнення, але роботодавець не має права на цій підставі втручатися в особисте життя працівника.

8. Будь-яку інформацію про працівника необхідно одержувати з законних джерел. Законним джерелом, згідно з п. 3 ст. 86 ТК РФ, є або сам працівник, або таке джерело, на звернення до якого він дав згоду. Отже, інформація про працівника, отримана роботодавцем випадково зі сторонніх джерел, не може бути включена до складу персональних даних, вона не може оброблятися, зберігатися на підприємстві і тим більше не може передаватися третім особам.

Велике значення має те, як роботодавець ставиться до конституційних прав своїх працівників. Адже тільки адміністрація підприємства чи організації в змозі вести безперервний контроль за дотриманням встановленого порядку здійснення захисту персональних даних працівників.

Бібліографія

Нормативна література

1. Загальна декларація прав людини (прийнята на третій сесії Генеральної Асамблеї ООН резолюцією 217 А (III) від 10 грудня 1948 р.). - М.: Права людини, 2000.

2. Конвенція про захист прав людини та основних свобод (Рим, 4 листопада 1950 р.) (зі змінами від 21 вересня 1970 року, 20 грудня 1971, 1 січня, 6 листопада 1990 р., 11 травня 1994 р.). - М.: Права людини, 2000.

3. Міжнародний пакт про громадянські і політичні права (Нью-Йорк, 19 грудня 1966 р.). - М.: Права людини, 2000.

4. Конвенція про права та основні свободи людини, 1995 рік. - М.: Права людини, 2000.

5. Конституція Російської Федерації від 12 грудня 1993 року. - М.: Норма, 2009.

6. Кримінальний кодекс РФ від 13 червня 1996 р. - М.: Кодекс, 2009.

7. Кодекс РФ про адміністративні правопорушення від 30 грудня 2001 р. - М.: Кодекс, 2009.

8. Трудовий кодекс РФ від 30 грудня 2001 р. - М.: Гросс медіа, 2009.

9. Цивільний кодекс РФ. - М.: Норма, 2009.

10. Федеральний закон № 149-ФЗ «Про інформацію, інформаційні технології і про захист інформації» від 27.07.2006 р. / / УПС Консультант Плюс.

11. Федеральний закон № 152-ФЗ «Про персональних даних» від 27.07.2006 р. (в ред. Від 27.12.2009 р.) / / УПС Консультант Плюс.

12. Перелік відомостей конфіденційного характеру, затв. Указом Президента РФ від 6.03.1997 р. № 188 (в ред. Указу Президента від 23.09.2005 р.). / / УПС Консультант Плюс.

13. Положення про особливості обробки персональних даних, здійснюваних без використання засобів автоматизації, затв. Постановою Уряду РФ від 15.09.2008 р. № 687. / / УПС Консультант Плюс.

14. Постанова Міністерства праці та соціального розвитку РФ № 69 від «Про затвердження інструкції щодо заповнення трудових книжок» 10.10.2003 р.. / / УПС Консультант Плюс.

Спеціальна література

1. Айман Т.О. Трудове право. - М.: РІОР, 2007.

2. Басаков М.І. Трудове право: Конспект лекцій. - М.: Фенікс, 2007.

3. Коментар до Трудового кодексу Російської Федерації. / Под ред. К.Н. Гусова - ТОВ «ТК Велбі», ТОВ «Видавництво Проспект», 2006.

4. Дьомін Ю.М. Діловодство, підготовка службових документів. - С-П, 2004.

5. Демократія на виробництві. Практика передових країн Заходу. - М., Наука, 2003.

6. Ісаєв А.К. Трудове право Російської Федерації. - М.: Омега-Л, 2007.

7. Казанцев В.І., Васін В.М. Трудове право. - М.: Академія, 2006.

8. Коментарі офіційних органів до Трудового кодексу РФ. - М.: Инфра-М, 2006.

9. Кашаніна Т.В. Корпоративне (внутрифирменное) право. - М.: Норма, 2007.

10. Коршунов Ю.М., Коршунова Т.Ю., Кучма М.І., Шеломов Б.А. Коментар до Трудового Кодексу РФ. - М.: Спарк, 2005.

11. Коментар до Кодексу Російської Федерації про адміністративні правопорушення. / Под ред. Ю.М. Козлова - М.: МАУП, 2006.

12. Кузьмін І. Увага! Відомості конфіденційні. / / Відомості Верховної Ради, № 4. 2007.

13. Куракін П. Контроль захисту інформації. / / Кадрове справа, № 9. 2005.

14. Коментар до Кримінального кодексу Російської Федерації. / Под ред. В.М. Лебедєва. - М.: МАУП, 2005.

15. Лебедєва О.С. Трудове законодавство. - М.: Центр ЮрИнфоР, 2007.

16. Мачульская Є.Є. Правове регулювання персональних даних працівника в Російській Федерації та країнах-учасницях СНД. - М.: МГУ ім. Ломоносова, 2005.

17. Мишко Ф.Г., Михайлов Ф.Н., Курочкіна В.В. Трудове право. - М.: ЮНИТИ, 2006.

18. Постатейний Коментар до Кримінального кодексу РФ 1996 р. / За ред. А.В. Наумова .- М.: Проспект, 2004.

19. Основні права людини у сфері праці та їх захист. Основоположні міжнародні правові документи-стандарти. / / Бібліотека «Російської газети». Вип. № 22-23. 1999.

20. Миколаїв С.М. Трудові відносини: правові засади регулювання, судова практика. - М.: Податковий вісник, 2006.

21. Орловський Ю.П., Нуртдінова А.Ф. Трудове право. - М.: МЦФЕР, 2005.

22. Смирнов О.В. Трудове право. - М.: Проспект, 2007.

23. Смоленський М.Б. Трудове право для студентів вузів. - М.: Фенікс, 2008.

1. Сніжко О.А. Трудове право РФ: Навчальний комплекс курсу. - М.: ПРІОР, 2004.

2. Степанов Є. Облікова картка - як особиста справа. / / Кадрове справа, № 3. 2004.

3. Степанов Є. Персональні дані та їх захист. / / Кадрове справа, № 9. 2007.

4. Степанов Є. Захист інформації при роботі з ЕОМ. / / Кадрове справа, № 2. 2006.

5. Ситникова Є. Дисциплінарна відповідальність працівника. / / Кадрове справа, № 1. 2006.

29. Трудове право Росії: підручник для вузів. / Под ред. С.Ю. Головіної, М.В. Молодцова. - М.: Норма, 2008.

30. Трудове право Росії. / Под ред. С.П. Мавріна, Е.Б. Хохлова. - М.: Норма, 2008.

31. Трудове право Росії. / За заг. ред. Е.Б. Хохлова, В.А. Сафонова. - М.: Юрайт, 2008.

32. Французова Л. Особисті дані працівників. / / Кадрове справа, № 4. 2004.

33. Шіріков А. Безпека проти приватності? / / Економіка і життя, 2005. № 3.

Додаток 1. Положення про захист персональних даних працівників

«ЗАТВЕРДЖУЮ»

Директор ТОВ "ОООО"

Іванов В.І.

«_____»_____________ 2010

Положення про захист персональних даних працівників ТОВ "ОООО"

1. Загальні положення

1.1. Персональні дані Працівника - інформація, необхідна Роботодавцю в зв'язку з трудовими відносинами і що стосується конкретного Працівника.

1.2. Обробка персональних даних - отримання, зберігання, комбінування, передача або інше будь-яке використання персональних даних Працівника.

Обробка персональних даних Працівників здійснюється виключно з метою забезпечення дотримання законів та інших нормативних правових актів, сприяння Працівникам у працевлаштуванні, навчанні і просуванні по службі, забезпечення особистої безпеки Працівників, контролю кількості та якості виконуваної роботи і забезпечення збереження майна.

1.3. Обсяг, зміст та обробка персональних даних регламентується Конституцією Російської Федерації, Трудовим кодексом Російської Федерації, Федеральним законом «Про інформацію, інформатизації і захисту інформації» та іншими нормативними правовими актами.

1.4. Забороняється отримувати та обробляти персональні дані Працівника про його політичних, релігійних та інших переконаннях, приватного життя, членство в громадських об'єднаннях або його профспілкової діяльності, за винятком випадків, передбачених федеральними законами (відповідно до статті 24 Конституції Російської Федерації дані про приватне життя Працівника дозволяється отримувати та обробляти за його письмовою згодою).

2. Порядок збору, обробки та зберігання персональних даних

2.1. Всі персональні дані Працівника Роботодавець отримує у нього самого через заступника по кадрах та загальних питань або юрисконсульта.

2.2. Якщо персональні дані Працівника можливо отримати тільки в третьої сторони те Роботодавець має на це право тільки якщо ці дані необхідні з метою запобігання загрози життю і здоров'я Працівника, інших осіб, запобігання терористичних актів чи інших протиправних дій а також для забезпечення збереження охоронюваних матеріальних засобів.

2.3. Персональні дані Працівників обробляються і зберігаються у заступника по кадрах та загальних питань, бухгалтерії.

- В електронному вигляді на персональних ЕОМ без права зберігання на зовнішніх носіях інформації (дискети, компакт-диски).

- На паперових носіях у спеціально обладнаних шафах та сейфах (трудові книжки, особисті справи, особові картки Працівників за формою Т-2).

2.4. При передачі персональних даних Працівника Роботодавець повинен дотримуватись наступних вимог:

2.4.1.Не повідомляти персональні дані Працівника третій стороні без письмової згоди Працівника, за винятком випадків, коли це необхідно з метою попередження загрози життю і здоров'я Працівника, інших осіб або збереження майна, що охороняється.

2.4.2.Не повідомляти персональні дані Працівника у комерційних цілях без його письмової згоди.

2.4.3.Разрешать доступ до персональних даних Працівників тільки:

- Генеральному директорові - в повному обсязі;

- Заступникові з кадрів та загальних питань, юрисконсульту - у повному обсязі;

- Начальникові дільниці, головного інженера, бухгалтерії - за напрямами діяльності.

2.4.4. В інші організації персональні дані представляються Роботодавцем поштою встановленим порядком тільки за письмовим запитом організації з письмової згоди самого Працівника.

3. Права Працівників з метою забезпечення захисту персональних даних, що зберігаються у Роботодавця

3.1. Працівники мають право на:

3.1.1. Вільний, безкоштовний доступ до своїх персональних даних, включаючи право на отримання копій будь-якому записі (за письмовою заявою), за винятком випадків, передбачених федеральним законом.

3.1.2. Вимога про виключення або виправлення невірних або неповних персональних даних.

3.1.3. Вимога про повідомлення всіх осіб, яким раніше були повідомлені невірні або неповні персональні дані Працівника.

3.1.4. Визначення своїх представників для захисту персональних даних.

3.1.5. Оскарження до суду будь-яких неправомірних дій або бездіяльності при обробці і захисту його персональних даних.

4. Відповідальність за порушення норм, що регулюють обробку і захист персональних даних Працівника

4.1. Особи, винні у порушенні норм, що регулюють обробку і захист персональних даних Працівника, несуть відповідальність згідно з чинним законодавством Російської Федерації.

Виконавець:

Заступник з кадрів та загальних питань

Юрисконсульт: