Автор Анна Евкова
Преподаватель который помогает студентам и школьникам в учёбе.

Исследование проблем защиты информации компании

Содержание:

ВВЕДЕНИЕ

Развитие общественных отношений, технологический прогресс и рост технологий, научных достижений и всеобщая информатизация социума оказывают влияние на повышение интереса к организации работы по защите персональных данных.

Необходимость принятия мер по защите персональных данных также обуславливается возрастанием технических возможностей по копированию и распространению информации. В настоящее время уровень информационных технологий уже достиг того предела, когда самозащита персональных данных уже не является эффективным средством против посягательств на частную жизнь.

На сегодняшний день деятельность любой организации неразрывно связана с обработкой и хранением информации, содержащей персональные данные. Любое предприятие хранит и обрабатывает данные о сотрудниках, клиентах, партнерах, поставщиках и других физических лицах. Результатом утечки, потери или несанкционированного изменения персональных данных может явиться невосполнимый ущерб и даже полная остановка деятельности компании.

Понимая важность и ценность персональных данных, а также заботясь о соблюдении прав своих граждан, государство требует от организаций и физических лиц обеспечения надежной их защиты. Все вышеперечисленное обуславливает актуальность темы нашей работы[1].

Целью работы является изучение проблемы организации работы по защите персональных данных в Агентстве недвижимости ООО «НОВАЯ СТРОЙКА». Для достижения поставленной цели необходимо выполнить ряд задач:

- Дать теоретическое обоснование проблемы организации работы по защите персональных данных;

- Проанализировать проблему организации работы по защите персональных данных в агентстве недвижимости «НОВАЯ СТРОЙКА»;

- Разработать рекомендации по совершенствованию персональных данных в ООО «НОВАЯ СТРОЙКА».

Объект изучения работы – ООО «НОВАЯ СТРОЙКА».

Предмет изучения – проблема организации работы по защите персональных данных в Агентстве недвижимости ООО «НОВАЯ СТРОЙКА».

Теоретической основой работы послужили законодательство РФ, трудовое право РФ, а также другие подзаконные акты и публикации по проблеме защиты персональных данных и внутренняя документация ООО «НОВАЯ СТРОЙКА».

Практическая значимость работы заключается в возможности последующего внедрения разработанных нами рекомендаций по совершенствованию персональных данных в ООО «НОВАЯ СТРОЙКА», что позволит повысить уровень работы предприятия в рамках законодательной системы РФ и окажет положительное влияние на систему защиты персональных данных работников.

Структурно работа состоит из введения, двух глав, заключения, приложений и списка литературы.

ГЛАВА 1. ПРОБЛЕМЫ ОРГАНИЗАЦИИ РАБОТЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Краткая история о развитии работы по защите персональных данных в РФ

В современном мире работа по защите персональных данных выходит на первый план. Законодательные акты, направленные на регулирование обеспечения их сохранности включены не только в национальное законодательство, но и международные акты.

История развития законодательства о защите персональных данных в мире насчитывает не одно десятилетие.

Институт персональных данных является достаточно молодым в правовом плане институтом. На его становление влияют развитие конституционных прав и свобод человека и гражданина, и прежде всего право на неприкосновенность частной жизни[2].

Огромная роль в становлении и формулировании права на частную жизнь принадлежит американским судам. Так, в 1965 г. в деле Griswold v. Connecticut судья Верховоного суда США Дуглас вывел право на прайвеси из первых пяти поправок к Конституции США, признав, что эти поправки «охраняют различные аспекты неприкосновенности частной жизни». Широко известны слова, которые он произнес, резюмируя решение суда: «Мы имеем дело с правом на неприкосновенность частной жизни, которое старше, чем Билль о правах».

Становление современной системы прав и свобод человека и зависит от сформированной в США концепции прайвеси. 10 декабря 1948 года на Генеральной Ассамблеи ООН утвердили Всеобщую Декларацию прав человека, в статье 12 которой устанавливалось, что никто не может быть подвержен произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность жилища, тайну его корреспонденции или на его честь и репутацию; каждый человек имеет право на защиту закона от такого вмешательства и таких посягательств.

В 1950 году аналогичная норма была закреплена в статье 8 Европейской конвенции о защите прав человека и основных свобод в следующей формулировке: «каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции». Благодаря данным документам право на неприкосновенность частной жизни получило признание в качестве неотъемлемого права каждого человека[3].

С развитием информационных технологий внимание и интерес к проблеме неприкосновенности частной жизни начали существенно усиливаться. Появились новые технологии и средства для сбора, хранения и обработки данных, касающихся как личной жизни индивидов, так и их публичной деятельности. В праве остро встал вопрос о принятии особых правил регулирования сбора и обработки персональных данных как все более популярного объекта хозяйственного оборота. В это время наиболее активное развитие норм о защите персональных данных наблюдается в Европе.

Принципы, заложенные в Европейской конвенции о защите прав и основных свобод, получили свое развитие в специальных нормах Конвенции 108 Совета Европы о защите прав физических лиц в отношении автоматической обработки персональных данных 1981 года, в которой защита данных рассматривается как защита основных прав и свобод индивидов, в частности, их права на неприкосновенность частной жизни в отношении обработки персональных данных.

Впоследствии в Директиве Европейского парламента и Совета Европейского союза от 24 октября 1995 г. №95/46ЕС о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных. были заложены основы общеевропейской системы защиты персональных данных. В 2000 году в Хартии ЕС об основных правах право на защиту персональных данных было сформулировано в качестве самостоятельного фундаментального права.

Таковы основные этапы формирования нормативного механизма о защите персональных данных на европейском континенте. Заключительным этапом его формирования стало принятие национальных законов стран - участниц ЕС, направленных на регулирование вопросов защиты персональных данных[4].

Первый в мире специальный Закон о защите персональных данных был принят германской землей Гессен в 1970 г. До этого подобных законов нигде в мире не было. За последние 30 лет более чем в 20 европейских государствах были приняты нормативные акты по защите персональных данных, в которых были закреплены реальные механизмы правового регулирования оборота персональных данных. Следует отметить, что создание нормативных актов в данной сфере шло самостоятельно наряду с развитием законодательства о защите права на неприкосновенность частной жизни.

В России отдельные элементы права на неприкосновенность частной жизни законодательно закреплялись и анализировались еще в дореволюционный период. Так, Почтовый устав 1857г. и Телеграфный устав 1876г. закрепляли тайну корреспонденции, уголовно-правовая охрана указанной тайны осуществлялась на основании норм Уложения о наказаниях уголовных и исправительных 1845г., Уголовного Уложения 1903г. Так, в Уголовном Уложении 1903г. (ст. 162-170) устанавливался запрет на вмешательство должностных лиц при отправлении ими правосудия в личную и семейную жизнь человека.

После революции подход к проблеме прав человека существенным образом изменился. Так, Конституция РСФСР 1918г хотя и содержала раздел о правах человека под названием «Декларация прав трудящегося и эксплуатируемого народа» (декларация была принята ранее на IIIВсероссийском съезде Советов), но не закрепляла даже элементарных прав, минимума личных, политических, экономических, культурных прав человека. В нее вошли лишь запрет эксплуатации, право уравнительного землепользования, освобождение трудящихся масс из-под ига капитала, право трудящихся в управлении[5].

В 1924 г. была принята новая конституция – Конституция СССР, в которой уже не содержалось Декларации прав. Из прав человека в ней были провозглашены лишь национальная свобода, равенство, единое союзное гражданство. Наряду с этим в Конституции СССР отдельная глава была посвящена учреждению с целью борьбы с политической и экономической контрреволюцией, шпионажем и бандитизмом Объединенного государственного политического управления, которое руководило репрессиями, попирающими все человеческие права.

Впервые глава о правах и обязанностях граждан появилась в Конституции СССР принятой 5 декабря 1936г. накануне массовых репрессий 1937-1938гг. Конституция закрепляла широкий перечень личных прав и свобод таких, как свобода совести (ст. 124), неприкосновенность личности (ст. 127), неприкосновенность жилища и тайна переписки (ст. 128). В теоретическом плане это было серьезным достижением советского права, а в практическом – всего лишь формальностью.

Так, приказом НКВД СССР от 29 декабря 1939 г. было предписано стенографировать все без исключения международные телефонные разговоры сотрудников иностранных посольств и иностранных корреспондентов, а также решением директивных органов была введена цензура всей входящей и исходящей международной корреспонденции.

Не только международные связи контролировались органами государственной безопасности, внутри государства «большое место в контроле над человеком и обществом отводилось деятельности по использованию осведомителей».

Несмотря на очевидное нарушение такой практикой права на неприкосновенность частной жизни, подобные действия оправдываются государствами как необходимые меры обеспечения безопасности[6].

Уже в 1940-е гг., с расширением репрессивно-карательной политики по отношению к инакомыслящим, с ужесточением тоталитарного режима, проблема прав человека фактически была «закрыта».

Вновь вопрос о правах человека был поднят только в период политической «оттепели» конца 1950-х – начала 1960-х гг., когда в СССР появились первые теоретические исследования по политическим и правовым учениям.

В 1977г. в связи с ратификацией Международного пакта о гражданских и политических правах от 16 декабря 1966г. была принята новая Конституция СССР. Конституция СССР 1977г. стала первой и единственной за весь советский период конституцией, включавшей в отдельном разделе стандартный для развитых европейских стран комплекс гражданских, политических, экономических, социальных и культурных прав. Статьями 54-56 Конституции СССР 1977г. гражданам были гарантированы неприкосновенность личности, жилища, а также охрана законом личной жизни, тайны переписки, телефонных переговоров и телеграфных сообщений. В ст. 57 Конституции СССР 1977г. было оговорено, что уважение личности, охрана прав и свобод граждан - обязанность всех государственных органов, общественных организаций и должностных лиц[7].

Впервые в России право на неприкосновенность частной жизни как самостоятельное право было сформулировано в Декларации прав и свобод человека и гражданина, принятой накануне распада союзного государства Верховным Советом РСФСР 22 ноября 1991 года. В ней предусматривается запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. Впоследствии данная норма будет закреплена в Конституции РФ 1993 года.

В 1995 году Федеральным законом «Об информации, информатизации и защите информации» от 20 февраля 1995г. № 24-ФЗ впервые было законодательно закреплено понятие персональных данных. Согласно статье 2 указанного Федерального закона персональные данные - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Кроме того, указанным законом устанавливались общие принципы сбора, использования информации о гражданах, согласно этому закону персональные данные были отнесены к информации конфиденциального характера[8].

Следует отметить, что разработка специального закона о защите персональной информации, началась в России еще до принятия Директивы Европейского Парламента и Совета Европы 95/46/ЕС 24 октября 1995 г. «О защите личности в отношениях обработки персональных данных и свободном обращении этих данных». Первоначальный проект закона с рабочим названием «Об информации персонального характера» разрабатывался в 1998 г. в Комитете по информационной политике и связи Государственной Думы РФ при участии рабочей группы экспертов в сфере информационного законодательства. Однако этот проект закона так и не был рассмотрен в Государственной Думе РФ. Затем по истечении более чем двух лет в Совете Безопасности РФ была сформирована другая рабочая группа, которой и был подготовлен проект принятого впоследствии Федерального закона «О персональных данных» от 27.07.2006г. №152-ФЗ (далее – Федеральный закон).

В настоящее время наша страна, также как и страны СНГ, находятся на этапе становления права на защиту персональных данных. Однако первый шаг в этом направлении Россия и Украина уже сделали, в отличие от Белоруссии и Казахстана. Последним еще только предстоит принятие специализированного законодательства, направленного на защиту персональных данных.

Таким образом, основным международным документом является Конвенция "О защите физических лиц при автоматизированной обработке персональных данных" ETS-108 (Страсбург, 28 января 1981 г.), которая была принята государствами-членами Совета Европы с целью обеспечения на территории каждой из сторон договора уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой его персональных данных[9].

Российской Федерацией данная конвенция была ратифицирована только 19 декабря 2005 года Федеральным законом № 160-ФЗ. Именно с этого момента можно говорить о начале развития законодательства о защите персональных данных в РФ. Несмотря на принятие Федерального закона № 152-ФЗ в 2006 году, данный закон в полную силу вступил с 1 июля 2011 года.

Перенос вступления в силу данного закона обусловлен целым рядом факторов.

Во-первых, проведение комплекса мероприятий по защите персональных данных требует существенных финансовых затрат. Причем в наиболее сложной ситуации оказываются бюджетные учреждения (образования, медицины и т. п.), которым средства бюджета на проведение необходимых мероприятий не выделены.

Во-вторых, действующее законодательство о персональных данных содержит множество "вопросов без ответа"[10].

1.2. Персональные данные: понятие, направление в работе

Довольно часто работая с различными документами сталкиваешься с таким правовым понятием как "персональные данные". Этот юридический термин в последнее время у многих на слуху. Сегодня подписывая всевозможные договоры с разными организациями (банки, страховые компании, интернет провайдеры и т.д.) предлагают помимо договора подписать к нему и некое соглашение об использовании (обработке) персональных данных. Правда иногда это соглашение может присутствовать в самом тексте договора, но суть от этого не меняется. Что же собой представляют эти "персональные данные"? Какова их ценность? В чем заключается их защита?

Как известно, каждый гражданин в нашей стране имеет право на личную жизнь. При этом государство гарантирует (по крайней мере на бумаге) неприкосновенность ее и защиту. Так, согласно основному закону страны (ст.ст. 23, 24 Конституции РФ), каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Конституционное право на защиту частной жизни гражданина незыблемо в современном понимании права и имеет место быть в подавляющем большинстве демократических государств. Но что собственно это такое, с юридической точки зрения, "частная жизнь"?[11]

Обозначая свою правовую позицию по данному вопросу Конституционный Суд РФ в своем Определении от 09.06.2005 N 248-О разъясняет, с точки зрения основного закона, что из себя представляет право на неприкосновенность частной жизни: "это предоставленная человеку и гарантированная государством возможность контролировать информацию о самом себе, препятствовать разглашению сведений личного, интимного характера. В понятие "частная жизнь" включается та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если она носит непротивоправный характер."

Так вот, именно для обеспечения защиты и реализации неприкосновенности частной жизни, в законодательство была введена некая юридическая конструкция - "персональные данные", которая призвана была защитить некие данные относящиеся к "определенной персоне". Эти "данные" с этого момента (по замыслу законодателя) перестают быть свободными в обращении, на них накладывается специальный юридический режим, суть которого заключается в использование этих данных третьими лицами только в строго определенном законом порядке. Неприкосновенность частной жизни и персональные данные всегда неразрывно связаны между собой. В мировой практике эта правовая конструкция (персональные данные) известна давно и используется очень широко, особенно в век информационных технологий. Например: в США приняты Федеральный закон о свободе информации 1966 г. (существенно дополненный в 1974 г). и Федеральный закон о защите частной жизни 1974 г. Кроме этого, в 1972 г. в США была создана специальная комиссия по изучению влияния компьютерных технологий на приватность, по результатам которой принят билль о правах в компьютерную эпоху, получивший название "Кодекс справедливого использования информации". В основе этого биля было пять основных принципов:[12]

  1. Не должно быть систем, накапливающих персональную информацию, сам факт существования которых является секретом;
  2. Каждый человек должен иметь возможность контролировать, какая информация о нем хранится в системе и каким образом она используется;
  3. Каждый человек должен иметь возможность не допустить использования информации, собранной о нем для одной цели, с другой целью;
  4. Каждый человек должен иметь возможность скорректировать информацию о самом себе;
  5. Каждая организация, занимающаяся созданием, сопровождением, использованием или распространением массивов информации, содержащих персональные данные, должна обеспечить использование этих данных только в тех целях, для которых они собраны, и принять меры против их использования не по назначению.

После этого большинство стран Европы в течение нескольких лет приняли подобные законы, в основе которых были применены выработанные Соединенными Штатами принципы (Французский Закон об информатике, картотеках и свободах 1978 г., Закон о защите данных в Великобретании 1984 г., Федеральный закон о защите персональных данных в ФРГ 1990 г. и т.д.). Помимо этого, были сделаны серьезные шаги и в международном праве. В 1981 г. в Страсбурге была подписана Конвенция о защите физических лиц в связи с автоматической обработкой персональных данных (далее Конвенция). Россия ратифицировала Конвенцию в 2005 году[13].

Согласно положениям этой Конвенции персональные данные, проходящие автоматическую обработку:

  • должны быть получены и обработаны добросовестным и законным образом;
  • должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;
  • должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;
  • должны быть точными и в случае необходимости обновляться;
  • должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.

В связи с тем, что Россия стала участницей данной Конвенции, и развивая положения, установленные Конституцией РФ, был принят Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее Закон о персональных данных).

Согласно ст. 3 Закона о персональных данных, персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)[14].

Таким образом, персональные данные это прежде всего информация. В свою очередь, информация - это сведения (сообщения, данные) независимо от формы их представления (Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"). Далее, согласно закону данная информация должна относиться к конкретному лицу (определенному или определяемому физическому лицу), т.е. субъектом персональных данных может быть только физическое лицо. Все это вполне укладывается в рамки ст. 2 Конвенции, согласно чему персональной информацией признана любая информация, касающаяся конкретного или могущего быть идентифицированным лица (субъекта данных).

Обычно к персональным данным относят такие сведения о лице как паспортные данные, ИНН, СНИЛС, ФИО, адрес места жительства, медицинская карта, телефонный номер и др. сведения, подпадающие под определение, приведенное в ст. 3 Закона о персональных данных. Важно понять одно, что с принятием Закона о персональных данных сведения о лице, подпадающие под определения "персональных данных", могут использоваться (обрабатываться) третьими лицами, за некоторым исключением, только с его согласия, и только в строго определенном порядке. Вот почему в последнее время подписывая какой-либо договор, в дополнение к нему, просят подписать также и согласие на обработку персональных данных, т.к. без этого сделать что-либо с этими данными, не нарушая Закон о персональных данных, будет проблематично[15].

В зависимости от "важности" персональных данных их принято делить на четыре категории

  1. категория 4 - обезличенные и (или) общедоступные персональные данные
  2. категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных
  3. категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1
  4. категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни[16].

Практический смысл этой классификации заключается в том, что чем "меньше" категория, тем более жесткие требования предусмотрены законодательством в отношении обработки и хранения персональных данных. Например, 4 категория самая "простая", требования к хранению и обработке этой информации - минимальны.

Лица обрабатывающие персональные данные называются операторами. Согласно ст. 3. Закона о персональных данных оператор это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Принципы, которых должен придерживаться оператор при обработке персональных данных, помимо вышеуказанных из Конвенции, отражены в ст. 5 Закона о персональных данных. Основная идея, заложенная законодателем заключается в том, что оператор при обработке персональных данных должен прежде всего четко определить: объем обрабатываемых персональных данных их

и цель обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. На этом и базируется в целом Закон о защите персональных данных.

Основной контроль и надзор за обработкой персональных данных осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Так как обработка персональных данных строго регламентирована, какие персональные данные имеет право обрабатывать тот или иной оператор можно узнать из реестра операторов, осуществляющих обработку персональных данных. В реестре приведен перечень сведений (персональных данных), которые оператор имеет право обрабатывать. Правда стоит отметить, что на сегодня не все операторы пока подали в Роскомнадзор соответствующие уведомления, что в принципе само по себе уже говорит о недобросовестности того или иного оператора в сфере обработки им персональных данных.

Следует быть внимательным при подписании данного соглашения (соглашение об обработке персональных данных). Знакомясь с ним стоит обратить внимание на срок, в течение которого оператор имеет право осуществлять обработку. Перечень информации (персональных данных) должен укладываться в рамки перечня, представленного оператором в Роскомнадзор, а также соответствовать целям обработки. В любом случае необходимо помнить, что предоставив когда-либо оператору согласие на обработку персональных данных, субъект персональных данных, вправе также его и отозвать при необходимости. И оператор, получив такой отзыв, уже не вправе (за некоторыми исключениями, указанных в законе) будет осуществлять обработку персональных данных. Это очень важный момент, который в некоторой степени защищает интересы субъекта персональных данных. Ведь штрафы за нарушения в сфере защиты персональных данных довольно высоки, и операторам, как ни странно, здесь выгоднее соблюсти закон нежели его нарушить.

Итак, на основании вышесказанного можно сказать, что персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные вправе обрабатывать только специальные субъекты права - операторы. Оператор при обработке персональных данных должен определить объем обрабатываемых персональных данных их содержание и цель обработки.

Перечень обрабатываемой информации, заявленной оператором в Роскомнадзор можно посмотреть на сайте федеральной службы.

Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных[17].

1.3. Анализ пакета документов необходимого для защиты персональных данных в современной организации

Одно из главных организационных мер по защите персональных данных в любой организации на сегодняшний день является разработка пакета внутренних документов, направленных на регламентирование их защиты. Пакет документов, необходимых для защиты персональных данных, обязательно проходит проверку контролирующими органами в рамках государственного контроля[18].

Пакет по защите персональных данных, согласно Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» включает в себя следующие документы[19]:

- Положение о защите персональных данных Клиентов;

- Положение о защите персональных данных работников;

- Политика по обработке и защите персональных данных;

- Инструкция по учету лиц, допущенных к персональных данных;

- Инструкция для ответственных за обработку персональных данных;

- Приказ о назначении ответственных за обработку персональных данных;

- Приказ об установлении списка лиц, имеющих доступ к персональным данным работников, клиентов и контрагентов;

- Приказ о местах хранения персональных данных;

- Приказ о внесении изменений содержащих персональные данные работника;

- Уведомление о получении персональных данных третьих лиц;

- Согласие на получение персональных данных третьих лиц;

- Согласие на получение персональных данных третьей стороне;

- Согласие на обработку персональных данных;

- Отзыв согласия на обработку персональных данных;

- Ответ 3-й стороне о персональных данных;

- Обязательство о неразглашении персональных данных;

- Образец запроса персональных данных 3-й стороны;

- Журнал учета обращений субъектов персональных данных;

- Журнал учета передачи персональных данных.

ГЛАВА 2. ПРОБЛЕМА ОРГАНИЗАЦИИ РАБОТЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В АГЕНТСТВЕ НЕДВИЖИМОСТИ «НОВАЯ СТРОЙКА»

2.1. Краткая характеристика ООО «НОВАЯ СТРОЙКА»

Агентство недвижимости ООО «НОВАЯ СТРОЙКА» является обществом с ограниченной ответственностью и осуществляет свою деятельность на основании общего собрания учредителей от 8 октября 2001 года и подписанного ими учредительного договора от 8 ноября 2001 года. Учредители общества - физические лица.

Общество с ограниченной ответственностью «НОВАЯ СТРОЙКА» было учреждено и действует в порядке, предусмотренном Федеральным законом «Об обществах с ограниченной ответственностью», Гражданским Кодексом РФ, учредительными документами и другими законодательными актами РФ.
Общество зарегистрировано 15 декабря 2001 года.

Деятельность ООО «НОВАЯ СТРОЙКА» следует относить к риэлторской деятельности.

Согласно Общероссийскому классификатору видов экономической деятельности (ОКВЭД) основными видами деятельности ООО «НОВАЯ СТРОЙКА» являются операции с недвижимым имуществом:

70.31 - Деятельность агентств по операциям с недвижимым имуществом:

70.31.1 - Предоставление посреднических услуг при покупке, продаже и аренде недвижимого имущества

70.31.11 - Предоставление посреднических услуг при покупке, продаже и аренде жилого недвижимого имущества

70.31.12 - Предоставление посреднических услуг при покупке, продаже и аренде нежилого недвижимого имущества.

Структура организации представлена на Рисунке 1.

Генеральный директор

Заместитель директора

Бухгалтер

Специалисты по недвижимости (10 человек)

Офис-менеджер

Рисунок 1. Структура организации ООО «НОВАЯ СТРОЙКА»

2.2. Проблема организации работы с персональными данными в ООО «НОВАЯ СТРОЙКА»: анализ документов

Организация работы с персональными данными в ООО «НОВАЯ СТРОЙКА» возлагается менеджера по персоналу, в обязанности которого входит управление всем кадровым составом и трудовыми отношениями. Обработка персональных данных работника включает в себя процесс их получения, хранения, комбинирования, передачи или любые другие действия с персональными данными работника.

Менеджер по персоналу находится в непосредственном подчинении заместителя директора ООО «НОВАЯ СТРОЙКА», который в свою очередь подчиняется Генеральному директору. Менеджер по персоналу является непосредственным руководителем для специалистов по недвижимости и координирует их работу, а также проводит контроль результатов их деятельности, совместно с заместителем директора. Также в должностные функции менеджера по персоналу входит исполнение функций кадрового работника. Деятельность данного сотрудника регламентирована соответствующими должностными инструкциями. Разработку и подписание должностных инструкций для остальных сотрудников организации осуществляет менеджер по персоналу, в основе чего лежат квалификационные требования, которые предъявляются к сотрудникам.

В своей работе менеджер по персоналу руководствуется Положением об управлении кадрами и трудовыми отношениями, законодательными и нормативно-правовыми актами органов государственной власти, Уставом организации, нормативными документами организации, регламентирующими деятельность управления и сотрудников, а также иными действующими руководящими документами по вопросам документационного обеспечения агентства.

В распоряжении менеджера по персоналу для обеспечения его повседневной деятельности находится круглая печать с обозначением полного наименования и указанием на принадлежность к ООО «НОВАЯ СТРОЙКА» (как одного из структурных подразделений агентства недвижимости), а также необходимые штампы, которые применяются в строгом соответствии с предназначением.

Согласно Номенклатуре дел ООО «НОВАЯ СТРОЙКА», обязательному ведению и хранению подлежат следующие документы: Учредительные документы ООО «НОВАЯ СТРОЙКА» (Устав, Учредительный договор, Положение об УК и ТО и др.); Штатное расписание; Должностные инструкции сотрудников; Приказы по личному составу работников; Списки состава сотрудников; Заявления временных сотрудников; Личные дела сотрудников; Трудовые договора; Трудовые книжки; Книга учета выдачи трудовых книжек; Книга учета и алфавит личных дел; Журнал регистрации больничных листов сотрудников; Журнал регистрации командировочных удостоверений; Номенклатура дел отдела кадров; Акты на дела, переданные в архив; Акты об уничтожении дел.

В силу ст. 85 ТК РФ ООО «НОВАЯ СТРОЙКА» осуществляет обработку персональных данных работников, которая включает в себя действия по получению, хранению, передаче или иному их использованию. Кроме этого, работодатель обеспечивает их защиту от неправомерного использования, утраты в порядке, установленном ТК РФ (п. 7 ст. 86 ТК РФ) и иными федеральными законами, за счет своих средств[20].

Хранение и обработка персональных данных в ООО «НОВАЯ СТРОЙКА» осуществляются одновременно с использованием электронной системы хранения и на бумажных носителях. Какие данные подлежат хранению и обработке как персональные, кто имеет доступ к таким данным, каким образом осуществляется их защита от несанкционированного доступа – обо всем этом оговаривается в Положении о персональных данных.

Работники организации знакомятся с Положением под роспись, а вновь принимаемые на работу лица в силу ст. 68 ТК РФ знакомить с Положением до подписания трудового договора. Работники, участвующие в обработке персональных данных дают обязательство о неразглашении персональных данных.

Документы, в которых закрепляются положения об обработке и защите персональных данных, могут проверить контролирующие органы, в частности сотрудники Роскомнадзора.

Положение о персональных данных в организации разрабатывается и утверждается как локальный акт.

Принимаемый локальный акт согласовывается с начальником отдела кадров, главным бухгалтером, юристом или другими работниками. Положение вводится в действие приказом руководителя организации[21].

Положение в ООО «НОВАЯ СТРОЙКА» состоит из следующих разделов:

  1. Общие положения: указывается, с какой целью принимается данное Положение и какие вопросы оно регулирует.
  2. Основные понятия. Состав персональных данных работников: в данном разделе раскрывается, какие документы в организации содержат персональные данные.
  3. Хранение персональных данных: в разделе прописывается порядок и место хранения документов (дел) в которых содержатся персональные данные.
  4. Обработка персональных данных: в этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника.
  5. Передача персональных данных: прописывается порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам.
  6. Доступ к персональным данным: в разделе должна содержаться информация о порядке доступа к персональным данным работников. Доступ подразделяется на внутренний (предоставление персональных данных отдельным работникам организации) и внешний (передача персональных данных представителям других организаций и государственных органов).
  7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных: в этом разделе нужно прописать, кто в организации несет ответственность за нарушение правил хранения и использования персональных данных.

Положение утверждено Генеральным директором, подписано менеджером по персоналу и согласовано с юрисконсультом организации.

В состав персональных данных работника в ООО «НОВАЯ СТРОЙКА» включены следующие сведения: анкета; автобиография; образование; сведения о трудовом и общем стаже; сведения о предыдущем месте работы; сведения о составе семьи; паспортные данные; сведения о воинском учете; сведения о заработной плате сотрудника; сведения о социальных льготах; специальность; занимаемая должность; размер заработной платы; наличие судимостей; адрес места жительства; домашний телефон; место работы или учебы членов семьи и родственников; содержание трудового договора; содержание декларации, подаваемой в налоговую инспекцию; подлинники и копии приказов по личному составу; личные дела и трудовые книжки сотрудников; основания к приказам по личному составу; дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям; копии отчетов, направляемые в органы статистики; копии документов об образовании; результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей; фотографии и иные сведения, относящиеся к персональным данным работника.

Данный документ является конфиденциальными, хотя, учитывая его массовость и единое место обработки и хранения, соответствующий гриф ограничения на нем не ставится. С целью выявления возможных нарушений и проблем в работе по защите персональных данных в ООО «НОВАЯ СТРОЙКА» нами была проведена беседа с менеджером по персоналу. На основе полученных в ходе беседы данных, были сделаны следующие выводы:

1) В качестве руководства по определению объема и содержания обрабатываемых персональных данных работника менеджер по персоналу ООО «НОВАЯ СТРОКА» руководствуется Конституцией Российской Федерации, Трудовым Кодексом РФ и иными федеральными законами. Все персональные данные работников получены от них самих.

2) Любой работник ООО «НОВАЯ СТРОЙКА» может рассчитывать на получение доступа к информации об его персональных данных и их обработке по его требованию. При необходимости работник может получить копию любой из записей. Возможно внесение исправлений в записи после обращения с данной просьбой к менеджеру по персоналу.

3) Все сотрудники ООО «НОВАЯ СТРОЙКА» при поступлении в штат самостоятельно заполняют Анкету с перечнем вопросов о персональных данных работника. Автобиографию работник не заполнят. Анкета работника хранится в личном деле работника вместе с остальными документами персонального учета. Личное дело работника подлежит оформлению после издания приказа о приеме на работу. Все документы, хранящиеся в личном деле, расположены строго в хронологическом порядке, листы документов пронумерованы. Личное дело ведется на протяжении всей трудовой деятельности работника. Все изменения могут быть внесены только при наличии подтверждающих документов.

4) В ООО «НОВАЯ СТРОЙКА» введен запрет на сообщение персональных данных работника третьей стороне без получения его письменного согласия работника, за исключением такой необходимости при угрозе жизни и здоровья работника.

5) Внутренний доступ к персональным данным сотрудника имеют: генеральный директор; заместитель директора, бухгалтер, сам сотрудник и менеджер по персоналу.

6) Внешний доступ к персональным данным работника открыт для правоохранительных органов, органов статистики, страховых агентств, военкоматов, органов социального страхования, пенсионных фондов и подразделений муниципальных органов управления. Основанием для получения сведений другими организациями может выступать только письменный запрос на бланке организации, с приложением копии заявления работника.

7) Персональные компьютеры, на которых осуществляется хранение персональных данных, защищены паролями. Личные дела и документы, содержащие персональные данные работников, хранятся в шкафах, но не запирающихся на ключ[22].

Таким образом, по итогам проведенной нами беседы с менеджером по персоналу ООО «НОВАЯ СТРОЙКА», грубых нарушений законодательства в агентстве недвижимости выявлено не было. Тем не менее, был выявлен ряд проблем:

1) Отсутствие Локальных нормативных актов, направленных на регламентирование работы с документами, в состав которых входят персональные данные работников ООО «НОВАЯ СТРОЙКА» К ним относятся

протоколы общих собраний и собраний совета директоров; списки аффилированных лиц; сообщения о существенных фактах. Составление подобного перечня необходимо для установления адекватного режима доступа к документам, содержащим персональные данные.

2) Отсутствие условия обязательного заполнения Автобиографий работниками при их приеме в штат предприятия;

3) Выявлены случаи передачи персональных данных работников с его согласия без закрепления данного факта в письменной форме;

4) Хранение личных дел и документов, содержащих персональные данные работников в шкафах, не запирающихся на ключ не является способом их защиты от несанкционированного доступа.

2.3. Рекомендации по совершенствованию персональных данных в ООО «НОВАЯ СТРОЙКА»

По итогам проведенного исследования, нами были разработаны следующие рекомендации по совершенствованию персональных данных в ООО «НОВАЯ СТРОЙКА»:

1) Необходимым условием совершенствования персональных данных в ООО «НОВАЯ СТРОЙКА» является составление Инструкции, регламентирующей вопросы защиты персональных данных общества. Данная инструкция представлена в Приложении 5. Несмотря на то, что Законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в обществе: общий документ, определяющий политику общества в отношении обработки персональных данных, например, положение о персональных данных. В указанный локальный акт рекомендуется включить следующие пункты:

  • цели и задачи защиты персональных данных;
  • перечень документов и сведений, содержащих персональные данные;
  • сведения, относящиеся к персональным данным (паспортные данные, телефоны, размер оплаты труда и т. д.);
  • общие требования при обработке персональных данных и гарантии их защиты;
  • существующий режим организации доступа к персональным данным;
  • порядок ознакомления работников с имеющимися у работодателя персональными данными;
  • описание всех процессов обработки персональных данных;
  • порядок работы с персональными данными (сбор, обработка, хранение, уничтожение);
  • срок хранения персональных данных;
  • правила передачи и уничтожения персональных данных;
  • взаимные права и обязанности работников и работодателя в сфере передачи, хранения и обработки персональных данных;
  • ответственность за нарушение норм, регулирующих обработку и защиту персональных данных и правил работы с ними.

Список лиц, обрабатывающих персональные данные. Применительно к обществу в этот перечень, прежде всего, входит корпоративный секретарь либо лицо, исполняющее его функции. Приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Указанное лицо должно осуществлять внутренний контроль за соблюдением обществом и его работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения работников положения законодательства о персональных данных, локальных актов по вопросам их обработки, требований к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов. Положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. В данном положении рекомендуется описывать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации — паролей, антивирусных программ, хранение персональных данных обособленно от других сведений на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.). Локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений. Так, в обществе может быть разработан план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и проверок работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.

2) На наш взгляд, целесообразным также является внедрение журнала учета фактов ознакомления с персональными данными работников, информации о движении документов, включенных в личные дела, и самих личных дел. Журнал должен включать в себя возможность указания дат выдачи и возврата личных дел, сроках пользования, целей выдачи, наименовании выдаваемых документов (личных дел). Также необходимо внедрение проведения сверок наличия всех документов при их возврате в архив, которое должно осуществляться по соответствующей описи;

3) Ввести к обязательному подписанию всех лиц, имеющих доступ к персональным данным работников, Соглашения о неразглашении персональных данных работника, что будет способствовать повышению уровня личной ответственности каждого из сотрудников, имеющих доступ к такого рода информации. При этом сам документ должен содержать указание на несение ответственности в случае его нарушения, согласно Трудовому кодексу РФ;

4) Необходимо провести работы по усилению системы защиты персональных данных. Данная цель может быть достигнута, на наш взгляд, за счет проведения регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников. Оптимальным временным интервалом проведения такого рода проверок принять срок в один месяц. Также необходимой мерой является проведение работы по уничтожению неактуальных персональных данных, с целью чего должен быть разработан и внедрен АКТ об уничтожении персональных данных - документа, который должен быть составлен по итогам уничтожения персональных данных;

5) Внесение изменений в порядок хранения личных дел и других документов, содержащих персональные данные сотрудников в ООО «НОВАЯ СТРОЙКА». Все документы, содержащие персональные данные, должны отправлять на хранение только в металлические запирающиеся и опечатываемые шкафы, а трудовые книжки работников должны храниться в сейфе организации. Обязательно хранение документов (как в бумажном, так и в электронном виде), содержащих персональные данные, отдельно от остальных документов. Отдельно следует уточнить, что необходимо разделять документы, имеющие разные цели обработки. Ввести к обязательному подписанию Приказ «О назначении ответственных за использование и хранение ключей от помещений и шкафов», что окажет положительное влияние на личную ответственность каждого из сотрудников, имеющих доступ к данным ключам.

6) Введение запрета с указанием характера ответственности за нарушение на оставление документов, содержащих персональные данные работников на рабочем столе менеджера по персоналу и других сотрудников, имеющих доступ к ним во внерабочее время. Также обязательно введение запрета на хранение вышеуказанных документов (личных дел, трудовых книжек и прочее) на рабочих столах ответственных лиц при проведении ими приема посетителей. В данном случае было бы полезным внесение четкого графика приема посетителей, с целью регламентирования работы с документами и посетителями ООО «НОВАЯ СТРОЙКА»[23].

На наш взгляд, введение всех перечисленных нами рекомендательных мер позволит решить имеющиеся на сегодняшний день проблемы организации работы по защите персональных данных в ООО «НОВАЯ СТРОЙКА» и повысит уровень ответственности всех сотрудников, имеющих доступ к персональным данным работников, а также окажет положительное влияние на работу агентства недвижимости в рамках законодательной системы РФ. Одним из аспектов разработки рекомендаций, стало предоставление в компанию примерны образцов следующих документов: Соглашения о неразглашении персональных данных работника, Акта об уничтожении персональных данных, Приказа «О назначении ответственных за использование и хранение ключей от помещений и шкафов». Все вышеуказанные документы представлены в приложении.

ЗАКЛЮЧЕНИЕ

На наш взгляд, современное законодательство о вопросах защиты персональных данных в Российской Федерации не систематизировано и разбито на несколько федеральных законов, а также его элементы находят свое отражение в Трудовом, Уголовно-процессуальном кодексах РФ и Конституции РФ, но, не смотря на это, охрана персональных данных осуществляется на достаточно высоком уровне. Основным Законом в общей системе защиты персональных данных следует считать Федеральный Закон «О защите персональных данных».

Говоря о проблемах защиты персональных данных работников, следует отметить, что причиной большинства нарушений законодательства в данной области является неграмотность сотрудников кадровых служб и отсутствие четкого регламента по работе с таким видом информации. Законодательно регламентированная защита персональных данных работников со стороны государства обязывает руководство предприятий к выполнению всех законодательных норм.

По итогам проведенного нами исследования проблем организации работы по защите персональных данных в Агентстве недвижимости ООО «НОВАЯ СТРОЙКА», фактов грубых нарушений законодательства нами обнаружено не было, но был отмечен ряд недочетов и проблем в данной области. С целью их решения, нами был разработан ряд рекомендаций по совершенствованию работы предприятия по обеспечению защиты персональных данных, которые включили в себя введение в работу агентства Локальных нормативных актов.

На наш взгляд, внедрение наших рекомендаций позволит агентству недвижимости ООО «НОВАЯ СТРОЙКА» повысить уровень защиты персональных данных работников и соблюдать все необходимые законодательные требования.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ (принят ГД ФС РФ 21.12.2001) (действующая редакция от 01.12.2014) // Официальный сайт компании «КонсультантПлюс». - URL: http://www.consultant.ru/popular/tkrf/?utm_source=ya.direct&utm_medium=cpc&=utm_content=Labor%20Code&utm_term=dec (22.06.2017)

2. Уголовно-процессуальный кодекс Российской Федерации (УПК РФ) от 18.12.2001 № 174-ФЗ (принят ГД ФС РФ 22.11.2001)
(действующая редакция от 24.11.2014) // Официальный сайт компании «КонсультантПлюс». - URL: http://www.consultant.ru/popular/upkrf/ (22.06.2017)

3. Конституция Российской Федерации (Принята всенародным голосованием 12 декабря 1993 г.) // Официальный сайт компании «КонсультантПлюс». - URL: http://constitution.kremlin.ru/ (22.06.2017)

4. Указ Президента РФ от 6 марта 1997 г. № 188
«Об утверждении перечня сведений конфиденциального характера» С изменениями и дополнениями от 23 сентября 2005 г. // Информационно-правовой портал «Гарант». - URL: http://base.garant.ru/10200083/ (22.06.2017)

5. Закон РФ от 21 июля 1993 г. № 5485-I «О государственной тайне» (с изменениями и дополнениями) // Информационно-правовой портал «Гарант». - URL: http://base.garant.ru/10102673/#ixzz3LkbOfNP7 (22.06.2017)

6. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями) // Информационно-правовой портал «Гарант». - URL: http://base.garant.ru/12148567/#ixzz3Lkcp6e00 (22.06.2017)

7. Федеральный закон № 24-ФЗ «Об информации, информатизации и защите информации» // Российская газета RG. RU. - URL: http://www.rg.ru/2006/07/29/informacia-dok.html (22.12.2014)

8. Федеральный закон от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности» (с изменениями и дополнениями) // Информационно-правовой портал «Гарант». - URL: http://base.garant.ru/10104229/#ixzz3Lkbp0jIj (22.12.2014)

9. Федеральный закон от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации» (с изменениями и дополнениями) // Информационно-правовой портал «Гарант». - URL: http://base.garant.ru/12137300/#ixzz3LkcenvaU (22.12.2014)

10. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) № 58 от 2 февраля 2010 г. «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» // Российская газета RG. RU. - URL: http://rg.ru/2010/03/05/dannye-dok.html (22.12.2014)

11. Анодина Н.Н. Документооборот в организациях. Учебное пособие. - 3-е изд., перераб. и доп. . – М.: Омега-Л., 2014.

12. Балашкина И.В. Особенности конституционного регулирования права на неприкосновенность частной жизни в Российской Федерации // Право и политика. - 2017. - №7. - С. 92–105.

13. Белгородцева Н.Г. Об особенностях правового регулирования в области защиты информации персонального характера // Современное право. -2016. - №2. - С. 76-77.

14. Беловский Н. Персональные данные и их защита // Финансовая газета. Региональный выпуск. - 2014. - № 32. – с. 8-9.

15. Бойкова О. Разглашению не подлежит: методические рекомендации по обработке персональных сведений // Независимый библиотечный адвокат. - 2015. - № 6 (66). - С. 9-19.

16. Бриллиантова Н. А. Об охраняемой законом тайне в трудовых отношениях / Н. А. Бриллиантова ; В. В. Архипов // Законодательство и экономика. - 2015. - № 1. - C. 33-40.

17. Вялова Л. М. Составление и оформление документов о защите персональных данных работника // Справ. секретаря и офис–менеджера. – 2017. – № 5. – С. 24-32.

18. Исаев А.К. Трудовое право Российской Федерации. – М.: Омега-Л, 2017.

19. Капустина А. Г. Зарубежная практика регулирования конфиденциальной информации // Защита информации. Инсайд. - 2015. - № 5. - С. 24-26.

20. Корякина Ю. Разрабатываем Положение о защите персональных данных // Справ. по упр. персоналом. - 2017. - № 7. - С. 90-92

21. Куняев Н. Н. Правовое регулирование защиты информации, обеспечивающей личную безопасность // Адвокат. - 2015. - № 6. - C. 5-8.

22. Курникова И.А. Понятие «персональные данные» в российском и зарубежном законодательстве // Отечественные архивы. - 2014. - № 6.

23. Кучеренко А. В. Этапы и тенденции нормативно—правового регулирования оборота персональных данных в Российской Федерации // Информационное право. - 2014. - № 4. - С. 32-36.

24. Стасюлевич О. Закон о персональных данных / О. Стасюлевич, М. Куделя // Библиотека. - 2014. - № 1. - С. 9-15.

25. Челнокова Г. Б. Проблемы защиты персональных данных в рамках трудовых отношений // Право и государство: теория и практика. - 2017. - № 9. - C. 65-70.

Приложения

к приказу ___________________________

от «____»__________20__ г. №_________

  • Общие положения

Настоящее Положение об обработке персональных данных в ООО «НОВАЯ СТРОЙКА» (далее – Учреждения) разработано на основании и в соответствии с Конституцией Российской Федерации, Трудовым Кодексом РФ, Федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных», Федеральным законом № 149-ФЗ от 27.07.2006 «Об информации, информатизации и защите информации», Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 № 687, Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства РФ от 17.11.2007 № 781, и иными нормативно-правовыми актами в сфере защиты персональных данных.

Настоящее Положение устанавливает порядок обработки персональных данных в Учреждении, в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Настоящее Положение является элементом системы мер, принимаемых Учреждением для защиты обрабатываемых персональных данных от несанкционированного доступа, уничтожения, искажения или разглашения.

  • Основные термины

В соответствии с действующим законодательством в настоящем положении применяются следующие термины:

блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

использование персональных данных - действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

  • Порядок ввода в действие, изменения, прекращения действия Положения

Настоящее Положение утверждается и вводится в действие Приказом директора Учреждения с момента издания такого приказа. Положение действует бессрочно до его отмены, изменения или замены новым Положением.

Все работники Учреждения должны быть ознакомлены с Положением под роспись.

  • Перечень обрабатываемых персональных данных
  • В целях исполнения обязанностей и реализации прав сторон трудового договора (работника и работодателя) в Учреждении обрабатываются персональные данные работников, предусмотренные формой Т-2 (Личная карточка работника), утвержденной Постановлением Госкомстата России от 05.01.2004 № 1, также другая информация о работнике, в соответствии с «Перечнем персональных данных, обрабатываемых в ООО «НОВАЯ СТРОЙКА».
  • В целях заключения и исполнения гражданско-правового договора с физическими лицами могут обрабатываться следующие персональные данные граждан:
  • фамилия, имя, отчество;
  • должность;
  • год, месяц, дата рождения;
  • адрес регистрации и адрес проживания;
  • серия и номер документа, удостоверяющего личность, дата выдачи и выдавший орган;
  • ИНН;
  • номер страхового свидетельства государственного пенсионного страхования;
  • адрес электронной почты;
  • номер телефона, мобильного телефона.
  • Обработка персональных данных работников Учреждения
  • Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
  • Получение (сбор) персональных данных работников Учреждения осуществляет ________________________________________________________

(ФИО,должность)

Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

  • Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
  • Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ и федеральными законами.
  • Обработка персональных данных без использования средств автоматизации осуществляется в соответствии с «Инструкцией по обработке персональных данных, осуществляемой без использования средств автоматизации».
  • Хранение персональных данных работников на бумажных носителях осуществляется в металлических шкафах и сейфах. Трудовые книжки, личные дела, личные карточки работников по форме Т-2 хранятся в помещении ____________________________________________________________________

(№ помещения, адрес)

  • Документы, содержащие персональные данные, необходимые для осуществления выплат заработной платы работникам и других выплат и отчислений (в Пенсионный фонд, в Фонд социального страхования), хранятся в помещении ____________________________________________________________________

(№ помещения, адрес)

  • Архивное хранение персональных данных работников осуществляется на бумажных носителях в специальном помещении. Помещение архива оборудовано противопожарной дверью.
  • Автоматизированная обработка персональных данных работников осуществляется с использованием типовых прикладных решений 1С. Хранение персональных данных работников при автоматизированной обработке осуществляется в пределах контролируемой зоны Учреждения. Пользователям автоматизированных информационных систем, содержащих персональные данные сотрудников, запрещено записывать и хранить на внешних (отчуждаемых) носителях информацию, содержащую персональные данные.
  • При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки.
  • Работодатель обеспечивает за счет собственных средств защиту персональных данных работника от неправомерного их использования или утраты в соответствии с требованиями, установленными законодательством РФ.
  • Доступ к персональным данным работника
  • Доступ к персональным данным работников Учреждения разрешен только специально уполномоченным лицам, при этом указанным лицам предоставляется право обрабатывать только те персональные данные работника, которые необходимы для выполнения работником конкретных функций, определенных должностной инструкцией.
  • Внутренний доступ к персональным данным работника Учреждения имеют:
  • директор Учреждения, заместители директора, главный бухгалтер;
  • сотрудники бухгалтерии – в целях исполнения ими своих должностных обязанностей;
  • непосредственный и вышестоящий руководитель работника, а при переводе работника на другую работу в пределах Учреждения - также руководитель подразделения, в которое переводится работник;
  • сотрудники, осуществляющие сетевое администрирование Учреждения – в объеме и в целях выполнения функциональных обязанностей по предоставлению работнику доступа к информационным ресурсам предприятия и контроля такого доступа:
  • отдельные сотрудники Учреждения для выполнения служебных обязанностей, на основании списков, утвержденных директором Учреждения.

Внешний доступ к персональным данным работников в силу действующего законодательства имеют:

  • органы Федеральной налоговой службы РФ;
  • военные комиссариаты;
  • Пенсионный фонд РФ и территориальные органы;
  • Федеральный фонд обязательного медицинского страхования РФ и его территориальные органы;
  • Фонд социального страхования РФ и его территориальные органы;
  • правоохранительные органы, органы Прокуратуры РФ, Федеральная служба судебных приставов и её территориальные органы и иные органы государственной власти в пределах представленных законом полномочий;
  • страховые компании в рамках договоров обязательного и добровольного медицинского страхования жизни и здоровья работников, заключаемых работодателем.
  • Защита персональных данных

Защита персональных данных в Учреждении представляет собой систему мер, обеспечивающих предотвращение несанкционированный доступ к персональным данным, их неправомерное разглашение или распространение. В целях защиты персональных данных в Учреждении принимаются правовые, организационные и технические меры в соответствии с действующим федеральным законодательством.

  • Права и обязанности работника и работодателя в области обработки персональных данных работника
  • Обязанности работодателя

Работодатель обязан:

  • Соблюдать установленные законодательством требования к обработке персональных данных работника, контролировать соблюдение настоящего Положения представителями работодателя, осуществляющими обработку персональных данных работников.
  • Разрешать доступ к персональным данным работников только специально уполномоченным лицам.
  • Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом или иными федеральными законами.
  • Не сообщать персональные данные работника в коммерческих целях без его письменного согласия.
  • Предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.
  • Права работодателя

Работодатель имеет право:

  • Получать (запрашивать) от работника (а в предусмотренных законодательством случаях – и от третьих лиц) персональные данные работника, необходимые для исполнения обязанностей работодателя, вытекающих из трудового договора, а также предусмотренных действующим законодательством.
  • Запрашивать информацию о состоянии здоровья работника, относящуюся к вопросу о возможности выполнения работником трудовой функции.
  • Сообщать персональные данные третьим лицам (в том числе органам государственной власти) без письменного согласия работника в случаях, предусмотренных законодательством.
  • Обрабатывать персональные данные работников в целях организации поздравлений с днем рождения и юбилейными датами.
  • Предоставлять доступ к персональным данным работников только специально уполномоченным лицам.
  • Обязанности работника

Работник обязан:

  • Сообщать работодателю полные и достоверные персональные данные.
  • Предъявлять работодателю предусмотренные законодательством документы, содержащие персональные данные (в том числе в соответствии со ст. 65 Трудового кодекса РФ: паспорт или иной документ удостоверяющий личность, трудовую книжку (за исключением случаев, когда трудовой договор заключается впервые), страховое свидетельство государственного пенсионного страхования, документы воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу), документы об образовании, о квалификации, о наличии специальных знаний, а также дополнительные документы в случаях, предусмотренных законодательством).
  • В целях надлежащего исполнения работодателем своих обязанностей, а также реализации предусмотренных законом прав, незамедлительно сообщать работодателю об изменении своих персональных данных (фамилии, имени, отчества, адреса регистрации или проживания, телефона, мобильного телефона, о поступлении в учебные заведения, о получении (завершении) образования (дополнительного образования), о рождении детей, изменении семейного положения и т.п.).
  • Права работника

Работник имеет право:

  • Получать полную информацию о своих персональных данных и их обработке.
  • Иметь свободный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законом.
  • Требовать исключения или исправления неверных или неполных персональных данных путем подачи работодателю соответствующего письменного заявления, с приложением документов, подтверждающих корректные персональные данные.
  • Обязанности работников Учреждения при обработке персональных данных
  • Сотрудники Учреждения, осуществляющие в ходе выполнения своих трудовых обязанностей обработку персональных данных, обязаны соблюдать настоящее Положение, знать и соблюдать требования, «Инструкции по обработке персональных данных, осуществляемой без использования средств автоматизации» и «Инструкции по обеспечению безопасности персональных данных».
  • _____________________________________________________________

(ФИО,должность)

обязан хранить документы кадрового учета, содержащие персональные данные работников, в соответствии с требованиями законодательства и не допускать ознакомления с персональными данными работников лиц, не указанных в разделе 6 настоящего Положения.

  • Сотрудники обязаны использовать персональные данные, ставшие известными им в ходе выполнения трудовых обязанностей, исключительно в целях исполнения своих должностных обязанностей.
  • Сотрудникам запрещается распространять, разглашать, сообщать третьим лицам персональные данные, ставшие известными им в ходе работы в Учреждения, за исключением случаев, предусмотренных законодательством, или когда это обусловлено установленной технологией обработки персональных данных.
  • Ответственность за обеспечение сохранности персональных данных

За нарушение правил обработки персональных данных, их неправомерное разглашение или распространение, виновные лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.

Список использованной литературы

1. Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ (принят ГД ФС РФ 21.12.2001) (действующая редакция от 01.12.2014) // Официальный сайт компании «КонсультантПлюс». - URL: http://www.consultant.ru/popular/tkrf/?utm_source=ya.direct&utm_medium=cpc&=utm_content=Labor%20Code&utm_term=dec (22.12.2014)

2. Уголовно-процессуальный кодекс Российской Федерации (УПК РФ) от 18.12.2001 № 174-ФЗ (принят ГД ФС РФ 22.11.2001)
(действующая редакция от 24.11.2014) // Официальный сайт компании «КонсультантПлюс». - URL: http://www.consultant.ru/popular/upkrf/ (22.12.2014)

3. Конституция Российской Федерации (Принята всенародным голосованием 12 декабря 1993 г.) // Официальный сайт компании «КонсультантПлюс». - URL: http://constitution.kremlin.ru/ (22.12.2014)

4. Указ Президента РФ от 6 марта 1997 г. № 188
«Об утверждении перечня сведений конфиденциального характера» С изменениями и дополнениями от 23 сентября 2005 г. // Информационно-правовой портал «Гарант». - URL: http://base.garant.ru/10200083/ (22.12.2014)

5. Закон РФ от 21 июля 1993 г. № 5485-I «О государственной тайне» (с изменениями и дополнениями) // Информационно-правовой портал «Гарант». - URL: http://base.garant.ru/10102673/#ixzz3LkbOfNP7 (22.12.2014)

6. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями) // Информационно-правовой портал «Гарант». - URL: http://base.garant.ru/12148567/#ixzz3Lkcp6e00 (22.12.1014)

7. Федеральный закон № 24-ФЗ «Об информации, информатизации и защите информации» // Российская газета RG. RU. - URL: http://www.rg.ru/2006/07/29/informacia-dok.html (22.12.2014)

8. Федеральный закон от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности» (с изменениями и дополнениями) // Информационно-правовой портал «Гарант». - URL: http://base.garant.ru/10104229/#ixzz3Lkbp0jIj (22.12.2014)

9. Федеральный закон от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации» (с изменениями и дополнениями) // Информационно-правовой портал «Гарант». - URL: http://base.garant.ru/12137300/#ixzz3LkcenvaU (22.12.2014)

10. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) № 58 от 2 февраля 2010 г. «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» // Российская газета RG. RU. - URL: http://rg.ru/2010/03/05/dannye-dok.html (22.12.2014)

11. Анодина Н.Н. Документооборот в организациях. Учебное пособие. - 3-е изд., перераб. и доп. . – М.: Омега-Л., 2009.

12. Балашкина И.В. Особенности конституционного регулирования права на неприкосновенность частной жизни в Российской Федерации // Право и политика. - 2007. - №7. - С. 92–105.

13. Белгородцева Н.Г. Об особенностях правового регулирования в области защиты информации персонального характера // Современное право. -2011. - №2. - С. 76-77.

14. Беловский Н. Персональные данные и их защита // Финансовая газета. Региональный выпуск. - 2009. - № 32. – с. 8-9.

15. Бойкова О. Разглашению не подлежит: методические рекомендации по обработке персональных сведений // Независимый библиотечный адвокат. - 2010. - № 6 (66). - С. 9-19.

16. Бриллиантова Н. А. Об охраняемой законом тайне в трудовых отношениях / Н. А. Бриллиантова ; В. В. Архипов // Законодательство и экономика. - 2010. - № 1. - C. 33-40.

17. Вялова Л. М. Составление и оформление документов о защите персональных данных работника // Справ. секретаря и офис–менеджера. – 2007. – № 5. – С. 24-32.

18. Исаев А.К. Трудовое право Российской Федерации. – М.: Омега-Л, 2007.

19. Капустина А. Г. Зарубежная практика регулирования конфиденциальной информации // Защита информации. Инсайд. - 2010. - № 5. - С. 24-26.

20. Корякина Ю. Разрабатываем Положение о защите персональных данных // Справ. по упр. персоналом. - 2007. - № 7. - С. 90-92

21. Куняев Н. Н. Правовое регулирование защиты информации, обеспечивающей личную безопасность // Адвокат. - 2010. - № 6. - C. 5-8.

22. Курникова И.А. Понятие «персональные данные» в российском и зарубежном законодательстве // Отечественные архивы. - 2004. - № 6.

23. Кучеренко А. В. Этапы и тенденции нормативно—правового регулирования оборота персональных данных в Российской Федерации // Информационное право. - 2009. - № 4. - С. 32-36.

24. Стасюлевич О. Закон о персональных данных / О. Стасюлевич, М. Куделя // Библиотека. - 2009. - № 1. - С. 9-15.

25. Челнокова Г. Б. Проблемы защиты персональных данных в рамках трудовых отношений // Право и государство: теория и практика. - 2007. - № 9. - C. 65-70.

Приложение 1

Лист ознакомления с Положением об обработке персональных данных в ООО «НОВАЯ СТРОЙКА»

№ п/п

Фамилия, имя, отчество работника

Дата ознакомления с Положением

Подпись работника

Приложение 2

Соглашение о неразглашении

Персональных данных сотрудника

Я, ______________________________________, паспорт серии ________, номер ____________, выданный _________________________________________________ "____" ___________ ______ года, понимаю, что получаю доступ к персональным данным сотрудников ООО «НОВАЯ СТРОЙКА». Я также понимаю, что во время исполнения своих обязанностей, мне приходится заниматься сбором, обработкой и хранением персональных данных сотрудников.

Я понимаю, что разглашение такого рода информации может нанести ущерб сотрудникам фирмы, как прямой, так и косвенный.

В связи с этим, даю обязательство, при работе (сбором, обработкой и хранением) с персональными данными сотрудника соблюдать все описанные в «Положении о защите персональных данных сотрудника» требования.

Я подтверждаю, что не имею права разглашать сведения:

1. Анкетные и биографические данные;

2. образование;

3. сведения о трудовом и общем стаже;

4. сведения о составе семьи;

5. паспортные данные;

6. сведения о воинском учете;

7. сведения о заработной плате сотрудника;

8. сведения о социальных льготах;

9. специальность,

10. занимаемая должность;

11. наличие судимостей;

12. адрес места жительства;

13. домашний телефон;

14. место работы или учебы членов семьи и родственников;

15. характер взаимоотношений в семье;

16. содержание трудового договора;

17. состав декларируемых сведений о наличии материальных ценностей;

18. содержание декларации, подаваемой в налоговую инспекцию;

19. подлинники и копии приказов по личному составу;

20. личные дела и трудовые книжки сотрудников;

21. основания к приказам по личному составу;

22. дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

23. копии отчетов, направляемые в органы статистики;

Я предупрежден (а) о том, что в случае разглашения мной сведений, касающихся персональных данных сотрудника или их утраты я несу ответственность в соответствии с Трудовым Кодексом РФ ст. 90.

С «Положением о защите персональных данных сотрудника» ознакомлен (а).

"____" __________ 200__ г. ____________________

Приложение 3

ПРИКАЗ

От №_____

О назначении ответственных за использование

и хранение ключей от помещений и шкафов

В целях исполнения Федерального закона «О персональных данных» от 27 июля 2006 г. N 152-ФЗ

ПРИКАЗЫВАЮ:

Назначить ответственных за использование и хранение ключей от помещений и шкафов

ФИО работника

Должность

Закрепляемые кабинеты, шкафы

Контроль за исполнением настоящего приказа возложить на заместителя директора _______________________

Директор ООО «НОВАЯ СТРОЙКА» Д.В. Богданов

Приложение 4

УТВЕРЖДАЮ

Генеральный директор

ООО «НОВАЯ СТРОЙКА»

__________Д.В. Богданов

« » __________ 20 __ г.

АКТ


об уничтожении персональных данных

Комиссия в составе:

Председатель – ____________________________________________________

Члены комиссии – __________________________________________________

провела отбор носителей персональных данных и установила, что в соответствии с требованиями руководящих документов по защите информации

__________________________________________ информация, записанная на них в процессе эксплуатации, подлежит гарантированному уничтожению:

п/п

Дата

Тип носителя

Регистрационный номер

носителя ПДн

Примечание

Всего съемных носителей ____________________________________________

(цифрами и прописью)

На указанных носителях персональные данные уничтожены путем

____________________________________________________________________.

(стирания на устройстве гарантированного уничтожения информации и т.п.)

Перечисленные носители ПДн уничтожены путем

___________________________________________________________________.

(разрезания, сжигания, механического уничтожения и т.п.)

Председатель комиссии: _________________ /____________/

Члены комиссии: _________________ /_____________/

_________________ /____________/

Приложение 5

Инструкция о порядке работы с персональными данными

  1. Общие положения.
    1. Данная инструкция разработана с целью защиты интересов ООО «НОВАЯ СТРОЙКА» и субъектов персональных данных в целях предотвращения раскрытия (передачи), а также соблюдения надлежащих правил обращения с персональными данными.
    2. Данная инструкция предназначена для использования всеми сотрудниками Общества и регулирует IIравила работы с персональными данными.
    3. Сотрудники Общества, доступ которых к персональным данным необходим для выполнения ими своих служебных обязанностей, должны быть ознакомлены под роспись с данной инструкцией и предупреждены о возможной ответственности за его нарушение.
    4. К работе со сведениями, содержащими персональные данные, допускаются сотрудники, заключившие трудовой договор, содержащий соответствующее обязательство о неразглашении конфиденциальной информации.
    5. Отнесение сведений к категории персональных данных осуществляется в соответствии с Перечнем персональных данных.
  2. Порядок работы с конфиденциальными документами.
    1. Лица, поступающие на работу в Общество, должны быть ознакомлены с Перечнем персональных данных и предупреждены об ответственности за разглашение (утрату) сведений, содержащих персональные данные и дать письменное обязательство о неразглашении указанных сведений.
    2. Право работы со сведениями, относящимися к персональным данным, сотрудники получают в пределах выполнения своих должностных (функциональных) обязанностей.
    3. При работе с документами, магнитными, оптическими и флеш-носителями, содержащими персональные данные, сотрудники Общества обязаны следить как за сохранностью самих документов и носителей, так и за сохранностью содержащейся в них информации (не допускать несанкционированного ознакомления с документами посторонних лиц, в том числе других сотрудников).
    4. Носители с персональными данными следует убирать и запирать в шкаф или сейф, когда они не используются.
    5. Все бумажные документы, содержащие персональные данные, не должны храниться в открытом виде, позволяющем визуальный съем информации, их фотографирование или несанкционированное создание копий.
    6. Бумажные документы, ставшие ненужными, у которых истек срок хранения, испорченные бланки, лишние копии документов должны уничтожаться в специальных устройствах - шредерах, а при больших объемах уничтожаемых документов – путем сжигания в присутствии двух ответственных сотрудников.
    7. Запрещается оставлять на рабочем месте документы, содержащие персональные данные, или носители с персональными данными без присмотра.
    8. Запрещается выносить носители с персональными данными за пределы служебных помещений Учреждения.
    9. Запрещается записывать персональные данные на съемные носители без прямой служебной необходимости.
    10. при обработке персональных данных нельзя допускать возможность визуального просмотра персональных данных, зафиксированных на бумажных носителях или отображаемых на экране монитора, третьими лицами.
    11. Персональные компьютеры и принтеры должны быть выключены по окончании работы. При кратковременном покидании рабочего места компьютеры должны быть заблокированы.
    12. В нерабочее время фотокопировальные устройства должны быть защищены от доступа третьих лиц (заперты, убраны и т.п.).
    13. Напечатанные документы с персональными данными должны изыматься из принтеров немедленно.
    14. Запрещается выносить переносные компьютеры, содержащие персональные данные, за пределы служебных помещений.
    15. Категорически запрещается упоминать в разговоре с третьими лицами сведения, содержащие IIерсональные данные.
    16. Запрещается в нерабочее время вне служебных помещений упоминать в разговоре с сотрудниками Общества сведения, содержащие персональные данные.
    17. Запрещается обсуждать с кем-либо порядок доступа, места хранения, средства защиты систем обработки персональных данных, кроме обсуждения со специально допущенными к этой информации сотрудниками.
  3. Ответственность за разглашение персональных данных.
    1. За нарушение правил работы с персональными данными сотрудник несет дисциплинарную, административную, гражданскую и уголовную ответственность в соответствии с действующим законодательством.
    2. Нарушение правил работы с персональными данными может служить основанием для расторжения трудового договора.
    3. Каждый сотрудник несет ответственность за любые неправомерные деяния, совершенные в рабочее время с использованием персонального компьютера, за который он является ответственным.
    4. Сотрудники несут ответственность за деяния, совершенные с использованием их учетной записи в тех случаях, когда с их стороны не принимались достаточные меры по защите авторизационных данных.
    5. В случае нарушения правил работы с персональными данными, повлекшего ущерб или нарушение работы информационной системы, сотрудник обязан собственными силами восстановить первоначальное состояние информационной системы либо возместить затраты на восстановление информационной системы.
  1. - Бриллиантова Н. А. Об охраняемой законом тайне в трудовых отношениях / Н. А. Бриллиантова ; В. В. Архипов // Законодательство и экономика. - 2010. - № 1. - C. 33-40.

  2. - Бойкова О. Разглашению не подлежит: методические рекомендации по обработке персональных сведений // Независимый библиотечный адвокат. - 2010. - № 6 (66). - С. 9-19.

  3. - Анодина Н.Н. Документооборот в организациях. Учебное пособие. - 3-е изд., перераб. и доп. . – М.: Омега-Л., 2009.

  4. - Челнокова Г. Б. Проблемы защиты персональных данных в рамках трудовых отношений // Право и государство: теория и практика. - 2007. - № 9. - C. 65-70.

  5. - Курникова И.А. Понятие «персональные данные» в российском и зарубежном законодательстве // Отечественные архивы. - 2004. - № 6.

  6. - Капустина А. Г. Зарубежная практика регулирования конфиденциальной информации // Защита информации. Инсайд. - 2010. - № 5. - С. 24-26.

  7. - Балашкина И.В. Особенности конституционного регулирования права на неприкосновенность частной жизни в Российской Федерации // Право и политика. - 2007. - №7. - С. 92–105.

  8. - Куняев Н. Н. Правовое регулирование защиты информации, обеспечивающей личную безопасность // Адвокат. - 2010. - № 6. - C. 5-8.

  9. - Белгородцева Н.Г. Об особенностях правового регулирования в области защиты информации персонального характера // Современное право. -2011. - №2. - С. 76-77.

  10. - Кучеренко А. В. Этапы и тенденции нормативно—правового регулирования оборота персональных данных в Российской Федерации // Информационное право. - 2009. - № 4. - С. 32-36.

  11. - Вялова Л. М. Составление и оформление документов о защите персональных данных работника // Справ. секретаря и офис–менеджера. – 2007. – № 5. – С. 24-32.

  12. - Стасюлевич О. Закон о персональных данных / О. Стасюлевич, М. Куделя // Библиотека. - 2009. - № 1. - С. 9-15.

  13. - Белгородцева Н.Г. Об особенностях правового регулирования в области защиты информации персонального характера // Современное право. -2011. - №2. - С. 76-77.

  14. - Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями) // Информационно-правовой портал «Гарант». - URL: http://base.garant.ru/12148567/#ixzz3Lkcp6e00 (22.06.2017)

  15. - Бриллиантова Н. А. Об охраняемой законом тайне в трудовых отношениях / Н. А. Бриллиантова ; В. В. Архипов // Законодательство и экономика. - 2015. - № 1. - C. 33-40.

  16. - Стасюлевич О. Закон о персональных данных / О. Стасюлевич, М. Куделя // Библиотека. - 2014. - № 1. - С. 9-15.

  17. - Беловский Н. Персональные данные и их защита // Финансовая газета. Региональный выпуск. - 2009. - № 32. – с. 8-9.

  18. - Анодина Н.Н. Документооборот в организациях. Учебное пособие. - 3-е изд., перераб. и доп. . – М.: Омега-Л., 2014.

  19. - Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями) // Информационно-правовой портал «Гарант». - URL: http://base.garant.ru/12148567/#ixzz3Lkcp6e00 (22.06.2017)

  20. - Исаев А.К. Трудовое право Российской Федерации. – М.: Омега-Л, 2017.

  21. - Челнокова Г. Б. Проблемы защиты персональных данных в рамках трудовых отношений // Право и государство: теория и практика. - 2017. - № 9. - C. 65-70.

  22. - Корякина Ю. Разрабатываем Положение о защите персональных данных // Справ. по упр. персоналом. - 2007. - № 7. - С. 90-92

  23. - Вялова Л. М. Составление и оформление документов о защите персональных данных работника // Справ. секретаря и офис–менеджера. – 2007. – № 5. – С. 24-32.