Автор: Пользователь скрыл имя, 09 Мая 2013 в 08:55, дипломная работа
Целью дипломной работы является исследование трудовых отношений в сфере защиты персональных данных работников и разработка рекомендаций для работы кадровой службы в сфере защиты персональных данных.
Для достижения поставленной цели необходимо решить следующие задачи:
Определить понятие персональных данных;
Описать задачи кадровой службы при работе с персональными данными;
Изучить нормативные акты, устанавливающие правила по защите персональных данных;
Разработать рекомендации для защиты персональных данных работников.
ВВЕДЕНИЕ 3
1 ПЕРСОНАЛЬНЫЕ ДАННЫЕ
В ДЕЛОПРОИЗВОДСТВЕ ПРЕДПРИЯТИЯ 6
Понятие персональных данных 6
Общие требования при обработке
персональных данных работника и гарантии их защиты 10
1.3 Работа кадровой службы с персональными данными 14
1.4 Контроль защиты персональных данных работников 17
ПРАВОВАЯ И НОРМАТИВНАЯ БАЗА ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ 22
Нормативные акты, устанавливающие
правила по защите персональных данных 22
Нововведения в законодательстве по защите
персональных данных 26
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
НА ПРИМЕРЕ ООО «Диалком» 29
История организации, вид деятельности 29
Методические рекомендации
по защите персональных данных в ООО «Диалком» 31
ЗАКЛЮЧЕНИЕ 34
СПИСОК ЛИТЕРАТУРЫ 38
Таким образом, организация, которая осуществляет практически любую работу с персональными данными от обычной систематизации данных до их передачи третьим лицам, называется оператором персональных данных.
1.2 Общие требования при обработке персональных данных работников и гарантии их защиты
Работа с персональными данными должна быть организована в строгом соответствии с требованиями к обработке и хранению информации ограниченного доступа. Конфиденциальность, сохранность и защита персональных данных в отделе кадров обеспечивается отнесением их к служебной тайне. Режим конфиденциальности персональных данных снимается в случаях обезличивания их или по истечении 75 – лет срока хранения, если иное не определено законом.
В сфере
трудовых отношений данный
Согласно статье 3 ФЗ «О персональных данных», информационная система персональных данных представляет собой совокупность персональных данных, содержащейся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. С учётом того, что многие компании осуществляют обработку персональных данных своих работников с использованием компьютерной техники и специального программного обеспечения, необходимость соответствия требованиям ФЗ «О персональных данных» является актуальной для многих из них. При этом с точки зрения определения круга требований, которым должна соответствовать компания, важным критерием является факт использования средств автоматизации.
Обработка персональных
данных считается осуществленной без
использования средств
Действующее законодательство устанавливает определенные требования для обработки персональных данных, осуществляемой без использования средств автоматизации:
Также одним из важных требований является обеспечение безопасности персональных данных, в том числе от несанкционированного доступа или изменения содержащихся в информационной системе данных. Такая безопасность достигается за счёт ряда мер организационного и технического свойства.
Основные организационные меры заключаются в принятии соответствующего локального нормативного акта, который будет регулировать вопросы, связанные с персональными данными. Данный локальный нормативный акт, как правило, регулирует следующие вопросы:
Работодатель обязан ознакомить работников под роспись с таким локальным нормативным актом. При этом при приеме на работу это должно быть сделано до подписания трудового договора с работником.
В части технических мер можно выделить использование специальных средств защиты информации (шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам и программно-технических воздействий на технические средства обработки персональных данных).
Наличие в компании положения о персональных данных важно не только с точки зрения соблюдения требований законодательства, но и с практической точки зрения. Нередко перед работодателем встает вопрос о передаче персональных данных того или иного работника третьей стороне. Так, подобная ситуация может возникнуть при заключении договора медицинского страхования в пользу работников (корпоративная программа добровольного медицинского страхования) и опосредованной этим передаче персональных данных работника страховой компании; при передаче функций по ведению бухгалтерского учета третьей стороне, при обращении к консультантам в сфере налогообложения, к юристам за получением соответствующей консультации и т.д.4
Помимо обеспечения интересов работника, целью сбора персональных данных может быть лишь контроль за количеством и качеством работы, а также за сохранностью имущества. Поэтому, например, контроль за электронной перепиской со служебного электронного адреса, хотя и допустим, но все же должен ограничиваться регистрацией адресатов и не касаться содержания пересылаемых сообщений. Это же касается телефонных линий и других средств сообщения. Использование служебного имущества и служебных средств связи в личных целях может повлечь дисциплинарное взыскание, но работодатель не вправе на этом основании вмешиваться в личную жизнь работника.5
Подводя итог выше изложенному, хотелось бы еще раз обратить внимание на то, что для соответствия требованиям законодательства при обработке персональных данных работников для любой компании крайне важно осуществить оценку существующего порядка обработки персональных данных с точки зрения наличия необходимых локальных документов. Кроме того, необходимо осуществить проверку соответствия информационных систем персональных данных установленным требованиям. Все это позволит избежать нарушений законодательства, регулирующего вопросы обработки персональных данных работника.
1.3 Работа кадровой службы с персональными данными
В силу специфики своей деятельности обработкой персональных данных в организации занимается отдел кадров. Именно здесь "оседает" весь объем сведений о работниках. Поэтому процессы обработки, передачи и защиты конфиденциальной информации о работниках должны быть упорядочены, прежде всего, в кадровой службе.
Правила ведения конфиденциального делопроизводства должны применяться в первую очередь в отношении личных дел сотрудников, в которых содержатся персональные данные. Комплектация личных дел является наиболее сложной и ответственной работой, требует особой тщательности и аккуратности при оформлении. Каждое предприятие вправе самостоятельно решать вопрос о том, какие документы включать в состав личных дел.
Работники отдела кадров должны помнить, что личные дела сотрудников должны храниться строго отдельно от всех других документов в закрывающихся шкафах или ящиках. Необходимо иметь в виду также то обстоятельство, что документы, включенные в состав личных дел, имеют разные сроки хранения. Для некоторых из них (приказов, личных карточек) установлены продолжительные сроки хранения и обязательное требование по их передаче в государственные архивы.
Отделу кадров целесообразно вести журнал учета, в который будут заноситься все факты ознакомления с персональными данными работников, а также информация о движении документов, включенных в личные дела, и самих личных дел. В таком журнале должны быть предусмотрены графы о дате выдачи и возврата документов (личных дел), сроке пользования, цели выдачи, наименовании выдаваемых документов (личных дел). В присутствии лица, возвращающего личное дело, обязательно сверяется по описи наличие всех документов. Лица, получающие документы (личные дела) во временное пользование, не имеют права делать в них пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.
Принципиальным требованием правил работы с персональными данными является установление личной ответственности сотрудников за неразглашение доверенной им конфиденциальной информации, за сохранность сведений, а также их носителей. В этой связи лицо, получившее право работать с персональными данными, должно принять на себя ряд обязательств: не разглашать доверенные им сведения, неукоснительно выполнять правила работы с персональными данными, обеспечивать надежное хранение носителей конфиденциальной информации.
Также следует незамедлительно сообщать уполномоченным лицам об утрате ключей, печатей и штампов, давать устные и письменные объяснения по фактам нарушения правил. В число ограничений входят также запреты на совершение определенных действий, могущих повлечь утрату носителей информации или разглашение конфиденциальных сведений, в частности, на передачу персональных данных лицам, не имеющим к ним доступа; на вынос документов из рабочего помещения без служебной необходимости и пр. Перечень указанных обязательств целесообразно отразить в Положении либо должностной инструкции специалиста.6
Более того, в соответствии с частью 3 статьи 57 ТК РФ условие о неразглашении работником сведений, составляющих охраняемую законом тайну, ставшую ему известной в связи с исполнением своих должностных обязанностей, может быть включено в трудовой договор с таким специалистом. В этом случае на работодателе лежит обязанность ознакомить работника с локальными нормативными актами предприятия, содержащими правила обработки и защиты персональных данных. Именно такая процедура доступа может быть использована в отношении специалистов кадровых служб.7
Система защиты конфиденциальных сведений должна предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также соблюдение правил работы с ними.
Однако, применение только административных мер не гарантирует полноценную охрану конфиденциальных сведений. Надежность защиты зависит во многом от расстановки и внутриорганизационного развития сотрудников. Кроме того, персонал - один из главных каналов утечки информации. Деятельность кадровой службы должна быть направлена на воспитание работников, допущенных к работе с персональными данными, выработку навыков работы с носителями конфиденциальной информации, закрытие бытовых каналов утечки данных. Здесь могут быть полезны индивидуальная беседа, предупреждение об ответственности, разъяснение юридических последствий разглашения информации.
1.4 Контроль защиты персональных данных работников
Взаимопонимание между руководством фирмы и работниками не означает полной свободы в организации рабочих процессов и желании выполнять или не выполнять требования по защите конфиденциальной информации. С этой целью руководителям всех рангов и службе безопасности следует организовать регулярное наблюдение за работой персонала в части соблюдения ими требований по защите информации.
Основными формами контроля могут быть:
Аттестация работников представляется одной из наиболее действенных форм контроля их деятельности как в профессиональной сфере (исполнительность, ответственность, качество и эффективность выполняемой работы, профессиональный кругозор, организаторские способности, преданность делу организации и т. д.), так и в сфере соблюдения информационной безопасности фирмы.
В части соблюдения требований по защите информации проверяется знание работником соответствующих нормативных и инструктивных документов, умение применять требования этих документов в практической деятельности, отсутствие нарушений в работе с конфиденциальными документами, умение общаться с посторонними лицами, не раскрывая секретов фирмы и т.д.
Информация о работе Защита персональных данных работников на примере ООО «Диалком»