СОДЕРЖАНИЕ

ВВЕДЕНИЕ

ГЛАВА 1. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КАК ПРАВОВОЙ ИН-СТИТУТ

1.1. Понятия, сущность защиты и общие требования персональных данных работников

1.2. Принципы защиты персональных данных работников

1.3. Соблюдение баланса интересов при установлении мер защиты персональных данных

Advertisement
Узнайте стоимость Online
  • Тип работы
  • Часть диплома
  • Дипломная работа
  • Курсовая работа
  • Контрольная работа
  • Решение задач
  • Реферат
  • Научно - исследовательская работа
  • Отчет по практике
  • Ответы на билеты
  • Тест/экзамен online
  • Монография
  • Эссе
  • Доклад
  • Компьютерный набор текста
  • Компьютерный чертеж
  • Рецензия
  • Перевод
  • Репетитор
  • Бизнес-план
  • Конспекты
  • Проверка качества
  • Единоразовая консультация
  • Аспирантский реферат
  • Магистерская работа
  • Научная статья
  • Научный труд
  • Техническая редакция текста
  • Чертеж от руки
  • Диаграммы, таблицы
  • Презентация к защите
  • Тезисный план
  • Речь к диплому
  • Доработка заказа клиента
  • Отзыв на диплом
  • Публикация статьи в ВАК
  • Публикация статьи в Scopus
  • Дипломная работа MBA
  • Повышение оригинальности
  • Копирайтинг
  • Другое
Прикрепить файл
Рассчитать стоимость

ГЛАВА 2. ОЦЕНКА ОРГАНИЗАЦИИ РАБОТЫ С КОНФИДЕНЦИАЛЬНЫМИ СВЕДЕНЬЯМИ В РКЦ Г.НЕФТЕЮГАНСК ГУ ЦБ РФ ПО ТЮМЕНСКОЙ ОБЛАСТИ

2.1. Характеристика деятельности РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюмен-ской области

2.2. Методы работы с конфиденциальными сведениями в РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области

2.3. Система защиты персональных данных работников РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области

ВВЕДЕНИЕ

Персональные данные сторон трудового договора, под которыми понимается информация о работодателе и работнике, имеет важное значение для каждого из них. При заключении трудового договора работник получает информацию о работодателе, о месте его нахождения, характере будущей работы. Большое значение знание персональных данных работника имеет для работодателя, который при заключении трудового договора получает информацию о работнике, о его возрасте, профессии, специализации, квалификации, состоянии здоровья, семейном положении.

После заключения трудового договора информация о работнике необходима работодателю для надлежащего исполнения его обязательств, вытекающих не только из трудового, но и из гражданского, семейного, административного, других отраслей законодательства (например, для удержания из заработной платы налогов, средств в возмещение ущерба, алиментов), для предоставления работнику льгот и преимуществ, например, при переводе на другую работу в связи с болезнью, беременностью, наличием детей.

Предоставляя работодателю право получать объемную информацию о персональных данных работника, закон обязывает его принимать все меры для предупреждения несанкционированного выхода этой информации из ведения работодателя, чтобы персональные данные работника не стали достоянием третьих лиц без его ведома и согласия.

Регулированию и обеспечению конфиденциальности персонифицированной информации о работниках, посвящены нормы, содержащиеся в статьях главы 14 «Защита персональных данных работника», которой завершается раздел III «Трудовой договор» ТК РФ.

Эти нормы появились в отечественном трудовом праве недавно. Действовавший до 1 февраля 2002 г. КЗоТ РФ не только не содержал таких норм, но и не употреблял терминологию, которой охватывались бы понятия персональных данных или иной информации о работниках. И только с принятием Трудового кодекса Российской Федерации, в котором есть специальная глава 14 «Защита персональных данных работника», сбор, хранение, использование конфиденциальной информации о работнике стали предметом правового регулирования.

С принятием Закона все работодатели получили статус операторов информационных систем персональных данных, и это наложило на них целый комплекс дополнительных обязанностей, потребовало организационной перестройки кадрового дела и документооборота.

Проблема защиты персональных данных в трудовых отношениях имеет два аспекта.

Первый аспект связан с комплексом мер по защите персональных данных работников в организации. Во-первых, он включает в себя обязательства работодателя — оператора по организации и реализации соответствующего порядка работы с персональными данными сотрудников и их защите. Во-вторых, в него входят и обязательства самих сотрудников, непосредственно осуществляющих обработку персональных данных в организации. Этот аспект урегулирован правом в достаточной степени.

Второй аспект данной проблемы связан с обработкой персональных данных соискателей, т.е. лиц, устраивающихся на работу. Специальная правовая регламентация этих процедур это обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме

либо отказе в приеме на работу.

С установлением в России рыночных отношений вопросы эффективного подбора кадров приобрели особую актуальность, и это дало мощный стимул развитию кадрового дела и оформлению его в отдельную специализированную сферу деятельности — кадровый менеджмент.

Актуальность выбранной темы, обусловлена проблемой защитой персональных данных работников РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области.

Объектом исследования данной работы являются – РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области.

Предметом исследования является система защиты персональных данных работников РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области.

Цель выпускной квалификационной работы – исследовать отдельные проблемы защиты персональных данных работников РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области и определить возможные пути их решения.

Для достижения указанной цели были поставлены следующие задачи:

1. Определить понятия, сущность и общие требования персональных данных работников.

2. Изучить вопрос о соблюдения баланса интересов при установлении мер защиты персональных данных.

3. Раскрыть принципы защиты персональных данных работников.

4. Рассмотреть методы работы с конфиденциальными сведениями в РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области.

5. Исследовать отдельные проблемы защиты персональных данных ра-ботников РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области при приеме на работу и в процессе трудовой деятельности.

6. Разработать порядок по урегулированию проблем защиты персональных данных работников РКЦ ГУ ЦБ РФ.

Источниками информации для написания работы послужили базовая учебная и научная литература, статьи и обзоры в специализированных и периодических изданиях, посвященных данной тематике.

Работа состоит из введения, основной части, заключения, списка использованных источников и приложений. Во введении обосновывается актуальность темы, определяются цель, задачи, предмет и объект работы. Основная часть состоит из трех глав. В первой главе раскрывается сущность и понятия персональных данных. Во второй главе проведена оценка организации и методов работы с конфиденциальными сведеньями в РКЦ г. Нефтеюганск ГУ ЦБ РФ ПО Тюменской области. В третьей главе изучены проблемы защиты персональных данных работников РКЦ г. Нефтеюганск ГУ ЦБ РФ ПО Тюменской области и возможные пути их решения.

ГЛАВА 1. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КАК ПРАВОВОЙ ИНСТИТУТ

1.1. Понятия, сущность защиты и общие требования персональных дан-ных работников

Согласно определению, содержащемуся в ст. 2 Конвенции о защите фи-зических лиц в отношении автоматизированной обработки данных личного характера «персональные данные» — это информация, касающаяся конкретного или могущего быть идентифицированным лица.

В соответствии со ст. 3 Федерального закона «О персональных данных» N 152-ФЗ от 27.07.2006 года — это любая информация, относящаяся к определенному или определяемому на основании такой информации лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Персональными данными работника является любая информация, с по-мощью которой лицо можно определить (идентифицировать). Далее в определении уточняется, что к информации о лице относится фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация.

Формулировка, предложенная российскими разработчиками, более подробная, нежели формулировка Конвенции о защите физических лиц и вышеупомянутых законов, и это, несомненно, оправданно. Как справедливо отмечается в юридической литературе, отечественный правоприменитель, не сталкиваясь ранее с данной правовой категорией и не обладая пока устоявшейся традицией реализации законодательства через призму соблюдения прав и свобод человека и гражданина, не сможет обеспечить комплексную защиту персональных данных исходя только лишь из абстрактных определений.

Персональные данные исключительно разнообразны и разнородны. Их можно по-разному классифицировать, объединять в различные группы в зависимости от избранного критерия и цели классификации. При этом любая классификация будет достаточно условной, так как некоторые сведения могут в равной степени относиться сразу к нескольким группам. Поэтому правовое регулирование такого сложного института, как институт персональных данных, должно быть гибким и многовариантным.

Классификация персональных данных представлена в виде схемы (Рис.1).

Классификация

Персональных данных

Специальные категории персо-нальных данных

Общедоступные персональные данные

Биометрические персональные данные

Рис. 1. Классификация персональных данных

В этой классификации персональные данные объединены в группы в за-висимости от правового режима их оборота, определяемого различными методами правового регулирования.

Персональные данные сторон трудового договора, под которыми понимается информация о работодателе и работнике, имеет важное значение для каждого из них. При заключении трудового договора работник получает информацию о работодателе, о месте его нахождения, характере будущей работы. Большое значение знание персональных данных работника имеет для работодателя, который при заключении трудового договора получает информацию о работнике, о его возрасте, профессии, специализации, квалификации, состоянии здоровья, семейном положении.

После заключения трудового договора информация о работнике необходима работодателю для надлежащего исполнения его обязательств, вытекающих не только из трудового, но и из гражданского, семейного, административного, других отраслей законодательства (например, для удержания из заработной платы налогов, средств в возмещение ущерба, алиментов), для предоставления работнику льгот и преимуществ, например, при переводе на другую работу в связи с болезнью, беременностью, наличием детей.

Предоставляя работодателю право получать объемную информацию о персональных данных работника, закон обязывает его принимать все меры для предупреждения несанкционированного выхода этой информации из ведения работодателя, чтобы персональные данные работника не стали достоянием третьих лиц без его ведома и согласия.

Регулированию и обеспечению конфиденциальности персонифицированной информации о работниках, посвящены нормы, содержащиеся в статьях главы 14 «Защита персональных данных работника», которой завершается раздел III «Трудовой договор» ТК РФ.

Эти нормы появились в отечественном трудовом праве недавно. Действовавший до 1 февраля 2002 г. КЗоТ РФ не только не содержал таких норм, но и не употреблял терминологию, которой охватывались бы понятия персональных данных или иной информации о работниках. И только с принятием Трудового кодекса Российской Федерации, в котором есть специальная глава 14 «Защита персональных данных работника», сбор, хранение, использование конфиденциальной информации о работнике стали предметом правового регулирования.

Появление в российском трудовом праве норм о защите персональных данных работника продиктовано необходимостью реализации в сфере труда общепризнанных норм и принципов международного права, применение которых гарантировано Конституцией Российской Федерации, которая в ст. 23 и 24 устанавливает, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну; сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается.

Провозглашая в соответствии с общепризнанными нормами и принципами международного права недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия, Конституция Российской Федерации в то же время предоставляет каждому право свободно искать, получать, передавать, производить и распространять информацию любым законным способом (ч. 4 ст. 29). Каждое из этих прав может быть ограничено исключительно федеральным законом и только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Дальнейшее развитие правовых предписаний о конфиденциальности информации о личности в правовом демократическом государстве получило в главе 14 Трудового кодекса Российской Федерации, и которая состоит из шести статей:

— статья 85 «Понятие персональных данных работника. Обработка персональных данных работника»;

— статья 86 «Общие требования при обработке персональных данных работника и гарантии их защиты»;

— статья 87 «Хранение и использование персональных данных работни-ков»;

— статья 88 «Передача персональных данных работника»;

— статья 89 «Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя;

— статья 90 «Ответственность за нарушение норм, регулирующих обра-ботку и защиту персональных данных работника».

Системно-сравнительный анализ норм, содержащихся в этих статьях, позволяет выявить их некоторую обособленность в системе трудового права, что дает основание рассматривать их в качестве самостоятельного института трудового права, который хотя, и связан тесно с трудовым договором, но в то же время выходит за его рамки, приобретая общеотраслевое значение.

Источниками информации о работнике являются иные предоставляемые им при поступлении на работу документы: страховое свидетельство государственного пенсионного страхования, документы воинского учета, документы об образовании, о квалификации, наличии специальных знаний, ученых степеней и званий.

Информация о работнике, относящаяся к его персональным данным, концентрируется в унифицированных формах первичной учетной документации по учету труда и его оплаты, утвержденных постановлением Государственного комитета Российской Федерации по статистике от 5 января 2004 г. №1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», согласованным с Министерством финансов РФ, Министерством экономического развития и торговли РФ, Министерством труда и социального развития РФ.

Однако, в силу изменений с 1 января 2013 г. формы первичных учетных документов, содержащиеся в альбомах унифицированных форм первичной учетной документации, не являются обязательными к применению. Вместе с тем обязательными к применению продолжают оставаться формы документов, используемых в качестве первичных учетных документов, установленные уполномоченными органами в соответствии и на основании других федеральных законов (например, кассовые документы), (информация Минфина России № ПЗ-10/2012).

В соответствии с названным выше постановлением все унифицированные формы первичной учетной документации по учету труда и его оплаты подразделяются на две группы. Первая — это документы по учету кадров, вторая — документы по учету рабочего времени и расчетов с персоналом по оплате труда.

К документам по учету кадров относятся приказ (распоряжение) о приеме работника на работу, личная карточка работника или личная карточка государственного (муниципального) служащего, учетная карточка научного, научно-педагогического работника, приказ (распоряжение) о переводе работника на другую работу, приказ (распоряжение) о предоставлении отпуска работнику, график отпусков, приказ (распоряжение) о прекращении (расторжении) трудового договора с работником, приказ (распоряжение) о направлении работника в командировку, командировочное удостоверение и служебное задание для направления в командировку, отчет о его выполнении, приказ (распоряжение) о поощрении работника.

К документам по учету рабочего времени и расчетов с персоналом по оплате труда относятся: табель учета рабочего времени и расчета оплаты труда, расчетная или платежная ведомость, лицевой счет, записка-расчет о предоставлении отпуска работнику, записка-расчет при прекращении (расторжении) трудового договора с работником, акт о приеме работ, выполненных по срочному трудовому договору, заключенному на время выполнения определенной работы.

Получение информации о работнике является правом работодателя. Она необходима ему в первую очередь для эффективной организации трудового процесса. Но информация о работнике может потребоваться работодателю и для исполнения обязанностей, возложенных на него трудовым законодательством. Например, для применения особых правил регулирования труда работников в возрасте до 18 лет (гл. 41 ТК РФ) или лиц с семейными обязанностями (гл. 42 ТК РФ) работодателю потребуется информации о возрасте работника, о наличии у него детей.

Получение информации о работнике может быть не только правом работодателя, но и его обязанностью, предусмотренной как трудовым правом, так и нормативными правовыми актами другой отраслевой принадлежности.

Например, налоговое законодательство, наделяя работодателя статусом налогового агента и возлагая на него обязанности по исчислению, удержанию у работника как налогоплательщика налогов и перечислению их в соответствующие бюджеты или внебюджетные фонды, обязывает работодателя учитывать целый комплекс сведений о работнике.

Сходные обязанности по сбору информации о работнике возлагает на работодателя Федеральный закон «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» № 27-ФЗ от 1 апреля 1996 г (с изменениями от 01.12.2014года).

В результате всего этого у работодателя концентрируется значительный объем разнообразной информации о работнике, совокупность которой и образует его персональные данные, защита которых входит в число обязанностей работодателя как обладателя персональных данных работника, осуществляющего их сбор, хранение, использование, передачу третьим лицам.

1.2. Принципы защиты персональных данных работников

Принципы защиты персональных данных работников определены в ст. 5 Федерального закона «О персональных данных» N 152-ФЗ от 27.07.2006 года. Необходимо отметить, что общие принципы обработки персональных данных работников были сформулированы в Директиве 95/46/EC Европейского Парламента и Совета Европейского союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных». А согласно ст. 7 Директивы 95/46/EC Европейского Парламента и Совета Европейского союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» государства-участники обязаны обеспечить, чтобы личные данные обрабатывались только в случаях, если:

— субъект данных недвусмысленно дал свое согласие;

— или обработка необходима для исполнения контракта, в котором субъект данных является стороной или для принятия мер до заключения контракта по просьбе субъекта данных;

— или обработка необходима для выполнения юридического обязательства, субъектом которого является контролер (физическое или юридическое лицо, официальный орган, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных);

— или обработка необходима для защиты жизненных интересов субъекта данных;

— или обработка необходима в целях обеспечения законных интересов контролера или третьей стороны (сторон), которым раскрыты данные, кроме случаев, когда такие интересы перекрываются интересами фундаментальных прав и свобод субъекта данных, защита которых требуется согласно п. 1 ст. 1 упомянутого документа (государства-участники защищают фундаментальные права и свободы физических лиц и, в частности, их право на неприкосновенность частной жизни применительно к обработке персональных данных).

Персональные данные работников должны обрабатываться в первую очередь на основе принципа законности целей и способов обработки персональных данных и добросовестности. Анализ норм Закона о персональных данных позволяет сформулировать некоторые основные практические советы, которыми должен руководствоваться оператор при обработке персональных данных для соблюдения требований действующего законодательства:

— должна быть обеспечена конфиденциальность персональных данных;

— персональные данные не должны передаваться третьим лицам без согласия субъекта данных;

-персональные данные должны быть защищены от несанкционированного доступа и распространения;

— персональные данные должны использоваться только для тех целей, для которых они были собраны, и храниться не дольше, чем это требуется для достижения целей обработки;

— обработка персональных данных возможна только при условии согласия субъекта;

— оператор должен направить уведомление об обработке персональных данных в уполномоченный орган (за исключением ряда случаев, названных в ст. 22 Федерального закона «О персональных данных» N 152-ФЗ от 27.07.2006 года), а также иметь документ, в котором отражена политика обработки персональных данных;

— субъект персональных данных должен иметь возможность знакомиться с данными о себе;

— оператор должен информировать граждан о факте обработки персональных данных, предоставлять сведения о целях и способах обработки;

— граждане имеют право требовать уточнения информации, а также блокирования и уничтожения неточных персональных данных;

— обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни допускается только в исключительных случаях и при соблюдении определенных условий.

Законодатель требует, чтобы персональные данные обрабатывались также с соблюдением принципа соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора. Поэтому в организациях, обрабатывающих персональные данные, целесообразно иметь документ, который будет отражать политику организации в отношении обработки персональных данных. Это может быть Положение об обработке персональных данных. Такой документ может определять:

— цели и способы обработки персональных данных;

— категории, типы обрабатываемых персональных данных;

— категории субъектов, персональные данные которых обрабатываются;

— правовое основание обработки персональных данных;

— перечень действий с персональными данными;

— условия прекращения обработки персональных данных;

— порядок получения доступа к персональным данным;

— условия раскрытия и объем персональных данных, доступных партне-рам и третьим лицам;

— перечень лиц, ответственных за рассмотрение жалоб и запросов.

Все персональные данные работника работодатель может получать только от него самого. Если персональные данные работника, возможно, получить только у третьей стороны, то работник должен быть уведомлен об этом и от него должно быть получено письменное согласие.

Главным условием защиты персональных данных является четкая регламентация функций работников отдела кадров. По каждой функции, выполняемой работником отдела кадров, должен быть регламентирован состав документов, дел и баз данных, с которыми этот человек имеет право работать.

Работодателем должен быть установлен порядок выдачи или ознакомления руководящего состава с документами, содержащими персональные данные сотрудников. Они могут выдаваться на рабочие места только первого руководителя, его заместителя по кадрам и начальника отдела кадров. Ознакомление с документами других лиц, имеющих на это право, осуществляется в помещении отдела кадров под наблюдением работника, ответственного за сохранность данных документов. Остальные работники имеют право знакомиться только со своими документами (например, трудовой книжкой, карточками формы Т-2, приложение1).

Статья 88 ТК РФ обязывает работодателя принять локальный нормативный акт, устанавливающий порядок обработки персональных данных работников, порядок передачи персональных данных работников в пределах одной организации, у одного индивидуального предпринимателя, а также права и обязанности работника и работодателя в этой области. Такой локальный акт называют «Положение о персональных данных работников», и в соответствии со ст.86 и 88 ТК РФ все работники должны быть ознакомлены с этим документом под роспись.

Правом доступа к персональным данным работника обладают ряд лиц, а именно руководитель организации, работодатель – индивидуальный предприниматель, начальник отдела кадров и сотрудники отдела кадров. Работодатели и работники отдела кадров должны совместно вырабатывать меры защиты персональных данных работника.

Согласно ст. 57 ТК РФ в трудовом договоре могут предусматриваться условия о неразглашении государственной, служебной, коммерческой и иной охраняемой законом тайны, в том числе, персональные данные. В связи с этим ст. 24 Федерального закона «О персональных данных» N 152-ФЗ от 27.07.2006 года, предусматривает, что лица, виновные в нарушении требований этого Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством, ответственность.

Правила обработки персональных данных работников регулируются гл. 14 ТК РФ, Законом о персональных данных, отраслевыми подзаконными нормативными актами и локальными нормативными актами организации. Следует сразу оговориться, что положения гл. 14 ТК РФ правом на защиту персональных данных наделяют только работника. Не только соискатель, но и бывший работник в Кодексе не упоминаются. Таким образом, если в локальном нормативном акте не установлено иное, после увольнения работника его персональные данные подлежат правовой защите на общих основаниях, предусмотренных Законом о персональных данных. Закон предписывает уничтожение персональных данных по достижении целей обработки (п. 2 ст. 5 Федерального закона «О персональных данных» N 152-ФЗ от 27.07.2006 года).

Положение о персональных данных может состоять из двух частей — ос-новной и дополнительной (конфиденциальных приложений). В основной части излагаются общие требования, а в конфиденциальных приложениях — подробные характеристики технической защиты баз данных, пароли доступа, места хранения ключей от запирающихся шкафов с бумажными носителями персональных данных, описание действия систем охраны помещений. С конфиденциальными приложениями работодатель знакомит только тех работников, в чьи обязанности непосредственно входит работа с персональными данными. Такой порядок позволяет лучше обеспечивать конфиденциальность персональных данных. Он вытекает из принципа защиты информации, согласно которому нельзя «держать все яйца в одной корзине». Информация делится на блоки, каждый из которых подлежит отдельной защите.

Положения о персональных данных в организации должен быть принят приказ о назначении лиц, ответственных за работу с персональными данными. В должностные инструкции и трудовые договоры работников, в чьи обязанности входит работа с персональными данными, внесены соответствующие пункты об охране конфиденциальности и соблюдении правил работы с персональными данными и о мерах ответственности.

Информирование и обучение работников достигается путем проведения инструктажа. Его целью является обучение работников правилам работы с персональными данными и их информационными системами, позволяющими обеспечить охрану их конфиденциальности. Без этого невозможна эффективная защита персональных данных в организации хотя бы потому, что не проинформированный должным образом работник виновным в нарушении правил работы с персональными данными не признается. Виновным будет считаться работодатель как не обеспечивший необходимую правовую защиту.

На работодателе лежит обязанность ознакомить всех работников организации (а не только тех, в чьи обязанности непосредственно входит работа с персональными данными) с правилами обработки и защиты персональных данных в организации, а также с правами и обязанностями работников в этой области. Сделать это проще всего, ознакомив работников с основным текстом «Положения о защите персональных данных» под роспись.

Работники, обеспечивающие функционирование автоматизированной информационной системы, должны быть проинструктированы относительно технических характеристик системы, средств ее защиты и правил эксплуатации и контроля.

Обязанности по информированию и инструктажу персонала лежат на работодателе.

Организационные меры защиты персональных данных. Это комплекс мер, направленных на создание фактических условий для работы с персональными данными в организации, позволяющих обеспечить их конфиденциальность. Работодатель должен обеспечить режим безопасности и охрану помещений, в которых ведется работа с персональными данными, а также обеспечивать сохранность носителей персональных данных и средств защиты информации таким образом, чтобы исключить возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Персональные данные могут храниться как на бумажных (журналы учета командировок, личные карточки), так и на электронных носителях. Различные носители персональных данных требуют различных подходов к их охране.

Закон о персональных данных требует от работодателя раздельного хранения материальных носителей персональных данных, собранных для различных целей. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Поэтому прежде всего нужно выделить изолированное помещение, предназначенное для работы с персональными данными, оснащенное всеми необходимыми техническими средствами: компьютером, ксероксом, сканером. Если такой возможности нет, то сотрудники во время работы с персональными данными должны соблюдать ряд нехитрых правил: не оставлять без присмотра на столе соответствующие документы, убирать их после работы в запирающиеся шкафы, не допускать посторонних в помещение во время работы с персональными данными.

Помимо всего этого работодателю нельзя забывать об общих правилах сбора и обработки персональных данных, установленных в гл. 14 ТК РФ.

Персональные данные работника должны быть получены у него самого (а если персональные данные, возможно, получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие). При этом работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. В данном положении главным является то, что именно работник как субъект персональных данных должен принимать решение относительно возможной передачи своих строго определенных персональных данных от третьего лица к работодателю. Истребование необходимой информации без соответствующего согласия, равно как и истребование какой-либо информации сверх той, что оговорена в письменном согласии, является основанием для применения мер дис-циплинарной ответственности к работнику, осуществляющему сбор персональных данных, или административной ответственности — к работодателю.

По общему правилу работодатель не имеет права собирать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, частной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом. Эти запреты, установленные в п. п. 4 — 5 ст. 86 ТК РФ, позволяют обеспечить защиту работника от возможной дискриминации по признаку религиозных, политических или иных убеждений, принадлежности к общественным объединениям.

Порядок хранения и использования персональных данных работников должен устанавливаться работодателем с учетом требований ст. 86, ст. ст. 88 — 90 ТК РФ и отвечать целям защиты. Этот порядок конкретизируется в ряде специальных законов, регламентирующих деятельность различных органов и организаций применительно к персональным данным работающих в них работников.

Обязанность по обеспечению защиты персональных данных работника от неправомерного их использования или утраты возлагается на работодателя в силу того факта, что он является лицом, ответственным за получение, хранение, комбинирование, передачу и любое другое использование персональных данных работника, т.е. лицом, в соответствии с законом производящим обработку этих данных. В связи с этим работодатель обязан принять все меры по обеспечению сохранности персональных данных, их недоступности для третьих лиц без предварительного разрешения работника.

Согласно ст. 89 ТК РФ в целях обеспечения защиты персональных дан-ных, хранящихся у работодателя, работники имеют право на полную информацию об их персональных данных и обработке этих данных; свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом; определение своих представителей для защиты своих персональных данных; доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору; требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ; требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях; обжалование в суд любых неправомерных действий или бездействия работодателя. Все эти права работника помогают ему осуществлять контроль за обеспечением конфиденциальности его персональных данных и за соблюдением правил их обработки.

1.3. Соблюдение баланса интересов при установлении мер защиты персональных данных

В декабре 2005 г. Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, взяв на себя тем самым обязательства привести национальное законодательство в соответствие с этой Конвенцией. В рамках данных обязательств были приняты Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных», а также ряд подзаконных актов. И хотя нормы названного Закона существенно не отличаются от норм Конвенции, подзаконными актами устанавливаются требования, которые не характерны для законодательства и практики других стран, подписавших Конвенцию. Следует учитывать, что европейское законодательство после принятия Конвенции активно развивалось, и страны Европейского союза при формировании механизмов защиты прав личности при обработке персональных данных руководствуются положениями Директив 95/46/EC и 97/66/EC Европейского Парламента и Совета Европы, согласно которым юридические и технические требования, устанавливаемые в целях обеспечения защиты персональных данных, прав частных лиц и законных интересов юридических лиц, должны быть четко сбалансированы, чтобы не создавать помех для развития рынка.

При установлении требований по защите персональных данных принципиальным моментом является обеспечение баланса интересов личности, общества и бизнес-структур, что предполагает соразмерность, обоснованность и выполнимость этих требований. Указанное положение реализуется в национальном законодательстве стран Европейского сообщества, которое, как правило, включает требование по обеспечению адекватной защиты персональных данных. Значение понятия «адекватность защиты» может отличаться в разных странах, но несущественно.

Право на неприкосновенность частной жизни и, как следствие, право на защиту персональных данных — это право относительное, а не абсолютное. Об этом свидетельствуют как нормы Конвенции о защите физических лиц при автоматизированной обработке персональных данных, Европейской конвенции о защите прав человека и основных свобод 1950 г., так и нормы Конституции РФ.

Европейская конвенция о защите прав человека и основных свобод со-держит ст. 8, устанавливающую право на уважение частной и семейной жизни, включая запрет на вмешательство со стороны публичных властей в осуществление этого права, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц.

Конституция РФ содержит близкие по смыслу нормы, непосредственно затрагивающие защиту персональных данных. Так, согласно ст. 23 (ч. 1) Конституции РФ, каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а в соответствии со ст. 24 (ч. 1) Конституции РФ, сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. По сути, норма, установленная ч. 1 ст. 24, Конституции РФ является одной из норм, составляющих понятие неприкосновенности частной жизни. Вместе с тем наблюдается тенденция рассматривать защиту персональных данных как самостоятельное право гражданина, т.е. отдельно от более широкого права на уважение частной и семейной жизни.

К персональным данным российское законодательство причисляет лю-бую информацию, относящуюся к определенному (или определяемому на основании такой информации) физическому лицу — субъекту персональных данных, в том числе его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы. Перечень персональных данных не является исчерпывающим: он может включать любую другую информацию, позволяющую идентифицировать личность человека.

В отношении персональных данных установлен режим конфиденциаль-ности, исключения из которого содержатся как в самом Федеральном законе «О персональных данных», так и в других федеральных законах. Субъекты РФ не вправе принимать законы, изменяющие установленный федеральным законодателем режим персональных данных.

Обработка персональных данных, под которой понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение, может осуществляться только с согласия субъектов персональных данных.

Согласия субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов самого субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) касается персональных данных, подлежащих опубликованию в соот-ветствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Кроме того, законодателем установлены особенности обработки специ-альных категорий персональных данных, которые, по сути, также являются исключениями из общего режима, но в сторону введения больших ограничений и запретов. Такой подход вполне оправдан, поскольку специальные категории персональных данных касаются наиболее значимых для любого человека сведений, в частности его религиозных и политических убеждений, расовой и национальной принадлежности, состояния его здоровья.

Общим правилом является наличие согласия субъекта персональных данных на их обработку. Любое исключение должно быть предусмотрено федеральными законами. Данное субъектом персональных данных согласие на их обработку не является окончательным. Оно может быть отозвано субъектом персональных данных. При этом ему не нужно объяснять причины своего решения или выполнять какие-либо условия, необходимо только уведомить оператора персональных данных о своем решении.

В случае отзыва субъектом персональных данных согласия на обработку своих данных оператор обязан прекратить их обработку и уничтожить данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Право отзыва согласия на обработку персональных данных не распро-страняется на случаи их обработки, установленные федеральными законами. Более того, в ряде федеральных законов предусматриваются случаи обязательного предоставления субъектом своих персональных данных (например, подача налоговой декларации).

Вопросы организационных и технических мер защиты персональных данных тесно связаны с проблемой инсайдерства. На сегодняшний день инсайдерство наряду с атаками хакеров является одной из главных угроз защите персональных данных. Незаконная продажа периодически обновляемых информационных баз, содержащих персональные данные граждан, поставлена на поток и приносит огромные доходы. Обновлением баз данных занимаются инсайдеры. Проверки Роскомнадзора показали, что во многих организациях созданы все условия для потенциального инсайдерства, в том числе в форме нарушения требований конфиденциальности в части отсутствия утвержденного перечня лиц, имеющих доступ к информационным базам, внутренним документам, рег-ламентирующим режим и порядок доступа к информационным системам.

Полученная в результате утечки информация размещается на частных интернет-сайтах, распространяется или продается в сети Интернет, на дисках. Нет уверенности в том, что сведения, предоставленные государственным или муниципальным органам и имеющие режим конфиденциальности, не получат общественной огласки и не станут доступны любому пользователю Интернета. Данная проблема неоднократно была предметом рассмотрения на заседаниях и слушаниях в парламенте. Ее решение возможно путем комплексного подхода, направленного на предотвращение деятельности всех участников цепочки нелегальной утечки информации: от инсайдера до продавца баз данных. Однако положительных изменений пока не наблюдается.

Одна из гарантий защиты прав субъектов персональных данных, предусмотренная ст. 22 Федерального закона «О персональных данных» N 152-ФЗ от 27.07.2006 года, это обязанность оператора до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

— относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

— полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

— относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими обществен-ным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей;

— предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

— являющихся общедоступными персональными данными;

— включающих в себя только фамилии, имена и отчества субъектов пер-сональных данных;

— необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

— включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

— обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав

Специалисты-правоведы обращают внимание на дисбаланс интересов в российском законодательстве в сторону абсолютизации интересов субъекта персональных данных без учета реальных возможностей операторов. Этим существенно различаются положения Федерального закона «О персональных данных» и Конвенции о защите физических лиц при автоматизированной обработке персональных данных.

Безопасность персональных данных должна быть достигнута путем ис-ключения несанкционированного, в том числе случайного, доступа к персо-нальным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Федеральный закон «О персональных данных» построен достаточно четко и логично. Однако персональные данные включают настолько различную информацию, что сформировать единый правовой режим персональных данных для всех случаев оказывается невозможным.

Для исполнения же указанной обязанности, уполномоченные должност-ные лица органов, организаций и учреждений должны располагать сведениями о фактическом адресе, почтовом (электронном) адресе, номерах служебных и мобильных (домашних) телефонов каждого из аккредитованных журналистов, поскольку непредставление редакцией средства массовой информации данного минимума персональных данных может привести как к нарушению предусмотренных ст. 47, 48 Закона РФ «О средствах массовой информации» N 2124-1 от 27.12.1991 года, прав журналистов, так и к ущемлению права граждан на получение оперативной и достоверной информации о деятельности органов, организаций и учреждений, аккредитовавших журналистов.

Вопрос о защите персональных данных во многих случаях следует ре-шать с учетом специального статуса субъекта персональных данных; прини-маемые меры защиты должны быть выполнимыми и соответствовать природе обрабатываемых данных и масштабам обработки. Однако в любом случае за субъектом персональных данных сохраняется право на обжалование действий или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, в частности, если субъект персональных данных считает, что оператор осуществляет обработку его данных с нарушением требований, касающихся защиты прав и свобод.

ГЛАВА 2. ОЦЕНКА ОРГАНИЗАЦИИ РАБОТЫ С КОНФИДЕНЦИАЛЬНЫМИ СВЕДЕНЬЯМИ В РКЦ Г. НЕФТЕЮГАНСК ГУ ЦБ РФ ПО ТЮМЕНСКОЙ ОБЛАСТИ

2.1. Характеристика деятельности РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области

РКЦ г. Нефтеюганск ГУ банка России по Тюменской области, полное название Расчетно-Кассовый центр г. Нефтеюганск Главного Управления Центрального Банка Российской Федерации по Тюменской области зарегистрирован 20 января 1991года Управлением Министерства Российской Федерации по налогам и сборам по г. Москве.

Основной целью деятельности РКЦ г. Нефтеюганск ГУ банка России по Тюменской области, как структурного подразделения Банка России, осуществляющего банковские операции с денежными средствами в условиях двухуровневой банковской системы, является обеспечение эффективного, надежного и безопасного функционирования платежной системы Российской Федерации.

Свою деятельность РКЦ г. Нефтеюганск ГУ банка России по Тюменской области осуществляет на основе федеральных законов, Положения и иных нормативных актов Банка России №336 от 07. 10. 1996г.

РКЦ г. Нефтеюганск ГУ банка России по Тюменской области функцио-нирует в соответствии с решением Совета директоров Банка России (протокол № 45 от 06.09.1996 г.) и приказом Центрального банка Российской Федерации «О типовом положении, о рассчетно-кассовом центре Банка России» за № 336 от 07.10.1996 года.

Рис. 2. Организационная структура РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области

Возглавляет РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области на-чальник — Хмельницкая Галина Викторовна, назначаемый на должность и освобождаемый от должности руководителем территориального учреждения Банка России (ГУ ЦБ РФ по Тюменской области) в порядке, определяемом Советом директоров Банка России.

Штатное расписание РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской об-ласти утверждено руководителем территориального учреждения Банка России с учетом рекомендованной Банком России структуры и схемы.

Взаимоотношения с обслуживаемыми кредитными организациями, представительными и исполнительными органами государственной власти, местного самоуправления, органами федерального казначейства и другими клиентами строятся на договорной основе.

Руководители РКЦ ГУ ЦБ РФ и его структурных подразделений несут ответственность в соответствии с действующим законодательством за обеспе-чение соблюдения законодательных актов Российской Федерации, норматив-ных актов Банка России. Кроме того, они обязаны, обеспечит сохранность сведений составляющих государственную тайну, а также сведений ограниченного распространения.

РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области, имеет идентификационный код, печать со своим наименованием и изображение Государственного герба Российской Федерации, а также штампы, необходимые для выполнения его функциональных задач.

РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области, обеспечивает ведение бухгалтерского учета и отчетности в соответствии с нормативными указаниями Банка России, осуществляет операции в соответствии с возложенными на него функциональными задачами.

Основные функции РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области, являются:

1. Осуществление расчетов между кредитными организациями.

2. Осуществление кассового обслуживания кредитных организаций.

3. Хранение наличных денег и других ценностей, совершение операций с ними и обеспечение их сохранности.

4. Обеспечение учета и контроля осуществления расчетных операций и выверки взаимных расчетов через корреспондентские счета (субсчета), открытые кредитным организациям.

5. Обеспечение учета и контроля осуществления кассовых операций через корреспондентские счета (субсчета), открытые кредитным организациям.

6. Расчетно-кассовое обслуживание представительных и исполнительных органов государственной власти, органов местного самоуправления, их учреждений и организаций, счетов бюджетов всех уровней и органов федерального казначейства Министерства финансов Российской Федерации, государственных внебюджетных фондов, воинских частей, военнослужащих, служащих Банка России, а также иных лиц в случаях, предусмотренных федеральным законом.

7. Обеспечение защиты ценностей, банковских документов и банковской информации от несанкционированного доступа.

8. Разработка и представление в территориальное учреждение Банка России прогноза по эмиссионному результату на предстоящий квартал по обслуживаемым клиентам РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области.

9. Установление предельных остатков денежной наличности в кассах обслуживаемых юридических лиц и осуществление оперативного контроля за их соблюдением в соответствии с действующим порядком.

10. Составление на основании данных кредитных организаций, других юридических лиц календаря выдач денег на оплату труда и предоставление его в территориальное учреждение Банка России.

11. Участие в реализации функциональных задач территориального учреждения Банка России:

— в порядке передоверия права по предоставлению банкам кредитов Банка России в установленном порядке;

— по его распоряжению участие в проведении инспекционных проверок кредитных организаций.

12. Регулирование обязательных резервов, депонируемых в Банке России, осуществление контроля за своевременностью и полнотой перечисления обязательных резервов, проверка достоверности расчетов обязательных резервов.

В рамках организации денежного обращения РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области, устанавливает лимит остатка денежной наличности в соответствии с Приложением к Указанию № 3210-У исходя из характера его деятельности с учетом объемов поступлений или объемов выдач наличных денег.

Кроме того, РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области, на основе данных, получаемых от обслуживаемых кредитных организаций, других юридических и физических лиц, а также собственной информации составляет и анализирует установленную Банком России отчетность, сведения разовых обследований и аналитические материалы по расчетам, кредитованию, денежному обращению, кассовым оборотам, кассовому исполнению федерального бюджета, остаткам средств на счетах местных органов власти и государственных внебюджетных фондов, финансированию капитальных вложений за счет средств федерального бюджета, представляет ее Главному управлению Центрального Банка Российской Федерации по Тюменской области.

2.2. Методы работы с конфиденциальными сведениями в РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области

В РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области, обработкой персональных данных о работнике занимается отдел кадров. Именно здесь «оседает» весь объем сведений о работниках. Правила ведения конфиденциального делопроизводства применяются в первую очередь в отношении личных дел сотрудников РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области, в которых содержатся персональные данные. Комплектация личных дел является сложной и ответственной работой и требует особой тщательности и аккуратности при оформлении.

Отдела кадров в РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области, личные дела сотрудников хранят строго отдельно от всех других документов в опечатываемом сейфе, оснащенном средствами охраны.

Документы, включенные в состав личных дел сотрудников РКЦ г. Неф-теюганск ГУ ЦБ РФ, имеют разные сроки хранения и для этого обязательными требования по их передаче служит сдача в государственные архивы.

Отдел кадров РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области, целесообразно ведет журналы учета, в который заносят все факты ознакомления с персональными данными работников, а также информация о движении документов, включенных в личные дела, и самих личных дел. В этом журнале предусмотрены графы о дате выдачи и возврата документов (личных дел), сроке пользования, цели выдачи, наименовании выдаваемых документов (личных дел). В присутствии работника, возвращающего личное дело, обязательно сверяется по описи наличие всех документов. Работники, получающие документы (личные дела) во временное пользование, не имеют права делать в них пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Правила работы с персональными данными работниками банка является установление личной ответственности сотрудников за неразглашение доверенной им конфиденциальной информации, за сохранность сведений, а также их носителей. Также сообщается об утрате ключей, печатей и штампов, дается устные и письменные объяснения по фактам нарушения правил. В число ограничений входят запреты на совершение действий, могущих повлечь утрату носителей информации и разглашение конфиденциальных сведений, в частности, на передачу персональных данных лицам, не имеющим к ним доступа на вынос документов из рабочего помещения без служебной необходимости.

Перечень указанных и запрещающих обязательств прописано в должностной инструкции работников РКЦ г. Нефтеюганск ГУ ЦБ РФ.

Применение только административных мер не гарантирует полноценную охрану конфиденциальных сведений. Надежность защиты зависит во многом от расстановки и развития сотрудников. Деятельность кадровой службы банка направлена на воспитание работников банка, допущенных к работе с персональными данными, выработку навыков работы с носителями конфиденциальной информации, закрытие бытовых каналов утечки данных.

Методы работы конфиденциальных сведений в РКЦ г. Нефтеюганск ГУ ЦБ РФ предусматривает проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников банка, а также соблюдение правил работы с ними.

В деятельности работы РКЦ г. Нефтеюганск ГУ ЦБ РФ используются основные методы работы с работниками банка, допущенными к конфиденциальной информации и работающими с носителями этой информации (Приложение 1):

— обучение;

— инструктажи;

— индивидуальная и воспитательная работа;

— проверка уровня знаний;

— контроль.

Все сотрудники, принимаемые на работу в РКЦ г. Нефтеюганск ГУ ЦБ РФ дают письменное обязательство по соблюдению режима коммерческой тайны. Это обязательство фиксируется в трудовом договоре. Сотрудники допускаются к работе только после изучения касающихся, требований действующих в РКЦ г. Нефтеюганск ГУ ЦБ РФ нормативно-методических документов по вопросам ведения конфиденциального делопроизводства, обеспечения режима конфиденциальности проводимых работ и проверки знаний этих требований.

Для обеспечения сохранности конфиденциальных документов, гибких магнитных дисков и других носителей информации, составляющую коммерческую и банковскую тайну, служебную информацию в РКЦ г. Нефтеюганск ГУ ЦБ РФ ограниченного распространения, предотвращения и разглашения, содержащихся в них сведений, в банке вводится порядок обязательного учета, хранения, уничтожения и персональной ответственности работников, допущенных к работе с ними.

Пересылкой документов с грифом «Коммерческая тайна», «Банковская тайна», «Для служебного пользования» осуществляется курьером банка. Конфиденциальные документы не подлежат пересылке по незащищенным каналам электрической связи (телеграф, факсимильная связь, электронная почта).

Отправляемые документы надежно упаковываются для предупреждения возможности ознакомления с ними в процессе доставки. На конверте указываются адреса, наименования получателя и отправителя банка. В правом верхнем углу конверта делается пометка «Коммерческая тайна», «Банковская тайна» или «Для служебного пользования» в зависимости от содержания информации вложенных в конверт носителей информации (документов). На тех конвертах (документах), которые подлежат вручению лично адресату или уполномоченному им лицу, проставляется пометка «Лично».

В пределах одного населенного пункта конфиденциальные документы могут перевозиться на служебном автотранспорте Банка курьерами или нарочными. При этом документы должны быть упакованы в конверт. Перевозка конфиденциальных документов общественным или личным транспортом запрещается.

Документы передаются должностному лицу, отвечающему за учет кон-фиденциальных документов, по реестру. Подпись лица, принявшего документы, заверяется печатью (штампом) организации — получателя документов.

Поступающая в Банк конфиденциальная корреспонденция принимается уполномоченным работником банка, отвечающими за учет конфиденциальных документов и регистрируется в журнале учета конфиденциальных документов.

Документы с грифом «Коммерческая тайна» «Банковская тайна» после исполнения группируются в дела. При небольшом объеме конфиденциальных документов (до 150 документов в год), номенклатурой дел предусматривается заведение одного дела – «Коммерческая тайна» («Банковская тайна»). При большем объеме документов конфиденциальные документы группируются в дела отдельно или вместе с другими документами связанными единой темой. При этом гриф ограничения доступа дела соответствует грифу ограничения доступа входящих в дело документов. Документы, содержащие служебную информацию работников банка, допускается группировать в дела вместе с другими документами с пометкой «Для служебного пользования». Срок хранения дела определяется максимальным сроком хранения документов, входящих в дело. Дела постоянного и долговременного хранения (десять лет и более) имеют внутренние описи.

Конфиденциальные документы, дела, утратившие практическое значение, а также с истекшими сроками хранения, по заключению экспертной комиссии, уничтожаются по акту. Отбор документов и дел на уничтожение осуществляется экспертными комиссиями, назначаемыми для этих целей приказом начальником банка. В состав экспертных комиссий включаются не менее трех квалифицированных в области информации, содержащейся в отбираемых для уничтожения документах и делах работников, в том числе работник Службы экономической безопасности Банка, способных правильно определить практическое значение документов. Документы уничтожаются по акту уничтожения документов на основании решения начальника банка, утвердившего акт экспертной комиссии, путем механической переработки на бумагоперерабатывающих машинах или путем сжигания, а магнитные носители информации — форматируются или размагничиваются и путем механических повреждений рабочей области магнитных носителей информации.

В учетных документах, после уничтожения материалов, делается отметка: «Уничтожено. Акт № … от … (дата)».

Важная часть конфиденциального делопроизводства является создание постоянно действующей экспертной комиссии (далее ПДЭК). Задачами такой комиссии является:

— разработка перечня сведений, составляющих коммерческую тайну;

— разработка перечня издаваемых банка конфиденциальных документов;

— снижение или снятие степени конфиденциальности сведений и грифа конфиденциальности документов в банке;

— разработка Положения о разрешительной системе доступа к конфиденциальной информации работников банка;

— экспертиза ценности конфиденциальных документов с целью установ-ления сроков их хранения и отбора документов на основе этих сроков для архивного хранения и уничтожения;

— проведение аналитической работы по предотвращению утечки и утраты конфиденциальной информации работников в банке.

По окончании календарного года проводится проверка наличия всех конфиденциальных документов, независимо от того, где и у кого они находятся, и от времени их поступления, исключая архив. Проверка производится специальной комиссией, назначаемой приказом начальника банка, в составе не менее трех человек, с обязательным включением в ее состав работников Службы экономической безопасности Банка в сроки указанные в приказе о назначении комиссии.

В ходе проверки проверяется движение (поступление, отправка, копирование и уничтожение) документов, произошедшее за прошедший календарный год, а также проводится сверка учетных данных с фактическим наличием документов.

По результатам проверки составляется акт, в котором указываются:

а) вид проводившейся проверки;

б) название подразделения банка, где проводилась проверка;

в) основание проведения проверки;

г) состав проверочной комиссии и сроки проведения проверки;

д) краткая характеристика состояния конфиденциального делопроизводства;

е) общее количество взятых на учет документов;

ж) количество и наименование документов, не состоящих на учете, у кого они были обнаружены и по какой причине не были учтены;

з) количество и учетные номера документов, не предъявленных в ходе проверки, кому они выданы, причины не предъявления;

и) другие выявленные нарушения требований настоящей Инструкции, допущенные исполнителями и ответственными за учет в подразделениях, с указанием фамилий, должностей и конкретных фактов нарушений;

к) выводы и предложения по результатам проверки и мероприятия по устранению выявленных нарушений.

Акт проверки подписывается всеми членами комиссии банка и утверждается начальником банка.

Каждый сотрудник, работающий с конфиденциальной информацией, обеспечен нормативно-методической документацией, регулирующий процесс его деятельности и технологию выполнения работ. К ним относятся нормативные документы, закрепленные законодательно, а также методическая литература: книги, брошюры, журналы, которые позволяют найти ответы на вопросы, не отраженные в нормативных документах.

2.3. Система защиты персональных данных работников РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области

Порядок хранения и использования персональных данных работников РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области определяет Положение о защите персональных данных. Это внутренний документ банка, его разработала кадровая служба, которая соответствуете требованиям, предъявляемая к защите персональных данных работника Трудового кодекса РФ.

В Положении о защите персональных данных РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области указаны:

• цель и задачи банка в области защиты персональных данных;

• понятие и состав персональных данных;

• в каких структурных подразделениях банка, на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;

• как происходит сбор персональных данных работников банка;

• как они обрабатываются и используются;

• кто (по должностям) в пределах банка имеет к ним доступ;

• как персональные данные защищаются от несанкционированного доступа;

• права работника банка в целях обеспечения защиты своих персо-нальных данных;

• ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников банка.

Положение о защите персональных данных работника утверждает на-чальник банка РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области и упол-номоченное им лицо. И вводится в действие этот документ приказом начальника (Приложение 2).

Перечень лиц, которые имеют доступ к персональным данным работника, оформляют в виде приложения к Положению. Это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике. Помимо кадровиков доступ к этим сведениям получают руководители структурных подразделений РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области (главный бухгалтер, начальники отделов). Однако они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев).

Начальник РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области обязан ознакомить работника банка с Положением о защите персональных данных, а работник – расписаться в этом положении. Факт ознакомления оформляется распиской, которая остается у работодателя (Приложение 3).

Для обеспечения внешней защиты персональных данных работников в РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области применяются следую-щие меры:

— установлен пропускной режим и особый порядок приема, учета и кон-троля деятельности посетителей данного банка;

— установлен особый порядок выдачи пропусков и удостоверений работников;

— использованы технические средства охраны видео наблюдения;

— используется программно-технический комплекс защиты информации на электронных носителях;

Для обеспечения внутренней защиты персональных данных работников в РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области:

— ограничивают и регламентируют состав работников, функциональные обязанности которых требуют доступа к персональным данным других работников;

— избирательно и обоснованно распределяют документы и информацию, содержащую персональные данные работников банка, между лицами, уполномоченными на работу с такими данными;

— рационально размещены рабочие места для исключения бесконтрольного использования защищаемой информации;

— регулярно проверяют знание работников банка, имеющими отношение к работе с персональными данными, требований нормативно-методических документов по защите таких данных;

— созданы необходимые условия для работы с документами и базами данных, содержащими персональные данные работников;

— определяют состав работников, имеющих право доступа (входа) в по-мещения, в которых хранятся персональные данные;

— организован порядок уничтожения информации;

— своевременно выявляется и устраняется нарушения установленных требований по защите персональных данных работников;

— проводиться профилактическая работа с должностными лицами банка, имеющими доступ к персональным данным работников, по предупреждению разглашения таких сведений.

Установлена система защиты персональных данных работников РКЦ ГУ ЦБ РФ по Тюменской области:

— запрещается сообщать персональные данные работника третьей стороне без письменного согласия работника банка, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;

— запрещается сообщать персональные данные работника банка в коммерческих целях без его письменного согласия;

— обязывает начальника банка предупредить лиц, получающих от него персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

— обязанности обеспечивать осуществление передачи персональных данных работника в пределах банка, в соответствии с локальным нормативным актом, с которым работник ознакомлен под роспись;

— разрешается доступ к персональным данным работников банка, только специально уполномоченным лицам. Которое получает право на те персональные данные работника, которые необходимы для выполнения конкретных функций.

— начальник банка в РКЦ г. Нефтеюганск ГУ ЦБ РФ по Тюменской области не запрашивает информацию о состоянии здоровья работника банка, за исключением тех сведений о его здоровье, которые необходимы для рассмотрения вопроса и принятия решения о возможности выполнения работником банка в конкретной трудовой функции, обусловленной трудовым договором;

В защите персонифицированной информации о работнике в целях обес-печения защиты персональных данных, хранящихся в банке, наделяется работник правом:

— на полную информацию о работнике банка их персональных данных и обработке этих данных;

— свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника банка, за исключением случаев, предусмотренных федеральным законом;

— определение своих представителей для защиты своих персональных данных;

— доступ к относящимся к ним медицинским данным с помощью меди-цинского специалиста;

— требование об исключении или исправлении неверных или неполных персональных данных;

— обжаловать в суде о любых неправомерных действий или без действия начальника банка при обработке и защите его персональных данных.