Защита персональных данных работника

ознакомиться только со своим личным делом и трудовой книжкой, учетными

карточками, отражающими его персональные данные. Факт ознакомления с личным делом также фиксируется в контрольной карточке.

      Не  менее строгого контроля требует  работа со справочно-информационным банком данных по персоналу предприятия (карточками, журналами и книгами персонального учета сотрудников). Отчетная и справочная работа отдела формирует каналы несанкционированного

получения и незаконного использования  персональных данных. В связи с  этим первым руководителем устанавливается: кто, когда, какие сведения и с какой целью может запрашивать в отделе кадров. И, что особенно важно – определяется порядок дальнейшего хранения сведений, работа с которыми закончена: где эти сведения будут находиться, кто несет ответственность за их сохранность и конфиденциальность.

      На  документах, выходящих за пределы  отдела кадров, может ставиться гриф «конфиденциально» или «для служебного пользования». В отделе кадров обязательно остаются копии всех отчетных и справочных документов. Целесообразно, чтобы подлинники этих документов после минования в них надобности возвращались в отдел кадров для включения в дело вместо хранящейся там копии.

      В структурных подразделениях предприятия могут быть следующие документы, содержащие персональные данные:

·      журнал табельного учета с указанием должностей, фамилий и инициалов сотрудников (находится у работника, ведущего табельный учет, - табельщика),

·       штатное расписание (штатный формуляр) подразделения, в котором

может дополнительно указываться, кто из сотрудников занимает ту или иную

должность, вакантные должности (находится  у руководителя подразделения),

·       дело с выписками из приказов по личному составу, касающимися

персонала подразделения (находится у табельщика).

      Руководитель  подразделения может иметь список сотрудников с указанием основных биографических данных каждого из них (год рождения, образование, местожительство, домашний телефон и др.). Все перечисленные документы следует хранить в соответствующих делах, включенных в номенклатуру дел и имеющих гриф ограничения доступа. Не реже одного раза в год работники отдела кадров проверяют наличие этих дел в подразделениях, их комплектность, правильность ведения и уничтожения.

В отделе кадров дела, картотеки, учетные журналы и книги учета хранятся в

рабочее и нерабочее время в металлических запирающихся и опечатываемых

шкафах. Работникам не разрешается при любом  по продолжительности выходе из помещения оставлять какие-либо документы на рабочем столе или оставлять шкафы незапертыми. У каждого работника должен быть свой шкаф для хранения закрепленных за ним дел и картотек. Трудовые книжки хранятся в сейфе. Оставлять на рабочем столе в нерабочее время документы, картотеки, служебные записи и другие материалы категорически запрещается.

      Помимо  операций с документами работники отдела кадров значительную часть времени тратят на прием посетителей. Этот вид работы также должен быть строго регламентирован, т.к. посетители могут представлять определенную угрозу информационной безопасности отдела кадров и физической безопасности работников отдела. Приемные часы должны быть разными для сотрудников предприятия и лиц, не входящих в эту категорию. В часы приема посетителей работники отдела не должны выполнять функции, не связанные с приемом, вести служебные и личные переговоры по телефону. На столе работника, ведущего прием, не должно быть никаких документов, кроме тех, которые касаются данного посетителя. Ответы на вопросы даются только лично тому лицу, которого они касаются. Не допускается отвечать на вопросы, связанные с передачей персональной информации, по телефону или факсу. Ответы на правомерные письменные запросы других учреждений и организаций даются в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных сведений.

      Подбор  персонала для работы в отделе кадров ведется с учетом требований, которые разработаны для должностей, связанных с владением и обработкой конфиденциальных сведений и документов. К ним можно отнести: анализ личностных и моральных качеств претендентов на должность; подписание обязательства о неразглашении защищаемых сведений; оформление приказом первого руководителя предприятия допуска к конфиденциальной информации; обучение правилам защиты конфиденциальной информации и регулярное инструктирование по отдельным вопросам защиты; контроль соблюдения действующих инструкций по работе с конфиденциальными документами.

      Иными словами, порядок функционирования отдела кадров должен быть подчинен решению задач обеспечения безопасности персональных сведений, их защиты от разного рода злоумышленников[13].

              
 
 
 

4. Передача  персональных данных работников

        

      При передаче персональных данных работника  работодатель должен соблюдать следующие  требования: не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами; не сообщать персональные данные работника в коммерческих целях без его письменного согласия; предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности); осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись; разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций; не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции; передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

      Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

      Работодатель  не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

      В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных работника либо отсутствует письменное согласие работника на предоставление его персональных сведений, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных, копия уведомления подшивается в личное дело работника.

      Персональные  данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.

      Работодатель  обеспечивает ведение журнала учета  выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

        
 
 
 
 
 
 
 
 
 
 
 

1.5 Защита информации при работе с персональным компьютером

                 

      Утечка  конфиденциальной информации от персональных компьютеров (ПК) может происходить по следующим каналам:

·   организационному каналу через персонал, злоумышленника, его

сообщника, силовым криминальным путем,

·   побочных электромагнитных излучений от ПК и линий связи,

·   наводок злоумышленником опасного сигнала на линии связи, цепи

заземления  и электропитания,

·   акустических сигналов,

·   через вмонтированные радиозакладки, съема информации с плохо стертых дискет, ленты принтера.

      Основным  источником высокочастотного электромагнитного  излучения является дисплей. Картинку дисплея можно уловить и воспроизвести на экране другого дисплея на расстоянии 200 - 300 м. Печатающие устройства всех видов излучают информацию через соединительные провода. Однако основным виновником утраты электронной информации всегда является человек.

      Защита  данных должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики ПК (надежность, быстродействие).

      Организация системы защиты информации включает:

·        защиту границ охраняемой территории,

·        защиту линий связи между ПК в одном помещении,

·        защиту линий связи в различных помещениях, защиту линий связи,

выходящих за пределы охраняемой зоны (территории).

      Защита  информации включает ряд определенных групп мер:

·      меры организационно-правового характера: режим и охрана помещений, эффективное делопроизводство по электронным документам – внемашинная защита информации, подбор персонала,

·        меры инженерно-технического характера: место расположения ПК,

экранирование помещений, линий связи, создание помех и др.,

·        меры, решаемые путем программирования: регламентация права на

доступ, ограждение от вирусов, стирание информации при несанкционированном доступе, кодирование информации, вводимой в ПК,

·        меры аппаратной защиты: отключение ПК при ошибочных действиях

пользователя или попытке несанкционированного доступа.

      Помещения, в которых происходит обработка информации на ПК, должны иметь аппаратуру противодействия техническим средствам промышленного шпионажа. Иметь сейфы для хранения носителей информации, иметь бесперебойное электропитание и кондиционеры, оборудованные средствами технической защиты.

      Комплекс  программно-технических  средств и организационных (процедурных) решений по защите информации от несанкционированного доступа состоит из четырех элементов:

·        управления доступом;

·        регистрации и учета;

·        криптографической;

·        обеспечения целостности.

      Правильная  организация доступа - управление доступом к конфиденциальной информации является важнейшей составной частью системы защиты электронной информации. Реализация системы доступа как к традиционным, так и электронным документам основывается на анализе их содержания, которое является главным критерием однозначного определения: кто из руководителей, кому из исполнителей (сотрудников), как, когда и с какими категориями документов разрешает знакомиться или работать. Любое обращение к конфиденциальному документу, ознакомление с ним в любой форме (в том числе случайное, несанкционированное) обязательно фиксируется в учетной карточке документа и на самом документе в виде соответствующей отметки и подписи лиц, которые