Курсовая работа Право цифровой безопасности. Защита общедоступных персональных данных по российскому законодательству
Скачать 79.78 Kb.
|
ГЛАВА 1. ПЕРСОНАЛЬНЫЕ ДАННЫЕ1.1. Правовое регулирование персональных данныхСовременное общество все чаще требует защиты конфиденциальной информации. Поскольку персональные данные сотрудников содержат личную информацию, защита, обеспечивающая безопасность и не разглашение, имеет первостепенное значение. По этой причине национальное и международное законодательство установило правила защиты персональных данных в целом и персональных данных сотрудников в частности. Право на уважение частной и семейной жизни включено в Конвенцию о защите прав человека и основных свобод. Эти международные правовые документы закладывают основы для создания национальных правовых систем. Однако Конвенция была принята через несколько лет после Второй мировой войны, когда права человека были далеки от реальности. Однако право на неприкосновенность частной жизни (включая конфиденциальную информацию) было включено в Декларацию в качестве одного из основных прав. Позже, когда международное сообщество боролось за установление гражданских прав, право на частную жизнь было подтверждено Международным пактом о гражданских и политических правах. В 1995 году Содружество Независимых Государств, членом которого являлась Россия, приняло Конвенцию о правах и основных свободах человека, которая закрепила основные права человека на территории распавшегося Советского Союза. Что касается Российской Федерации, то до недавнего времени на ее территории секретная информация защищалась следующими законами. Во-первых, это Конституция Российской Федерации. Его положения признают не только право на личную и семейную жизнь и конфиденциальность (часть I, статья 23), но и дополнительные гарантии этого права. Статья 2 Конституции гласит, что "человек, его права и свободы являются высшей ценностью". Признание, соблюдение и защита прав человека, прав и свобод личности являются обязанностями государства. Поэтому Российская Федерация стремится не только устанавливать права, но и защищать их, ставя интересы человека и гражданина на более высокий уровень, чем интересы государства, общества, общественных или коммерческих организаций. Согласно статье15 (1), Конституция РФ является документом прямого действия, и ее нормы должны применяться "как есть", не требуя дополнительного утверждения. Статья 15 (4) признает международные договоры (включая вышеупомянутые конвенции) в качестве источника права и отводит им ведущую роль. Статья 24 (1) запрещает сбор, хранение, использование или распространение информации, касающейся частной жизни человека, без его согласия. Наконец, статья 46 гарантирует каждому судебную защиту его прав, в том числе в ходе судебного разбирательства в транснациональных органах. Эта область также регулируется Федеральным законом "Об информации, информатизации и защите информации", который, в частности, в статье 11 (1) того же закона устанавливает, что персональные данные являются конфиденциальной информацией, и предупреждает в статье 11 (3) того же закона, что юридические и физические лица несут ответственность, если они нарушают порядок защиты, обработки и использования данных. [1] Персональные данные относятся к категории конфиденциальной информации (Федеральный закон "Об информации") и соответствующий перечень их определяет, как "информация о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющая идентифицировать это лицо". Глава 14 Трудового кодекса Российской Федерации регулирует соответствующую область персональных данных работников. Он определяет понятие персональных данных, устанавливает порядок работы с такими данными и определяет ответственность работодателя в случае несоблюдения соответствующих правил. [5] 1.2. Понятие и передача персональных данныхВпервые в Трудовом кодексе появилась глава, посвященная защите персональных данных работников. Компании постоянно собирают данные о личности своих сотрудников. Для этого используются личные информационные листы, различные анкеты и бланки характеристик. Однако сотрудники не имеют доступа к официальным правовым нормам по обработке этих данных. Статья 85 Трудового кодекса Российской Федерации и последующие статьи данной главы являются конкретным выражением конституционных положений о праве каждого на неприкосновенность частной жизни, личную и семейную тайну, а также защиту чести и репутации (статья 23 Конституции Российской Федерации) применительно к трудовым отношениям. Трудовой кодекс определяет персональные данные работника как информацию, необходимую работодателю в отношении конкретного работника в связи с трудовыми отношениями (статья 85 (1) Трудового кодекса Российской Федерации). [3] Легко понять, как это определение может быть применено ко всем видам информации о сотрудниках. Более того, компании часто собирают всевозможную информацию о своих сотрудниках, поскольку хотят получить полное представление о работнике. Часто работников просят предоставить подробную информацию о семейном положении, родственниках, условиях жизни, здоровье, судимости, регистрации постоянного места жительства и т.д. Однако эта информация не имеет никакого отношения к работе работника. Вместо этого работодатель пересекает тонкую грань, отделяющую личную информацию от информации, которая является частной, личной или семейной тайной от общественности. К основным документам и материалам, содержащим информацию, необходимую работодателю в связи с трудовыми отношениями, относятся: Документы, предъявляемые при заключении трудового договора (см. ст. 65 Трудового Кодекса); Документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей; Документы о состоянии здоровья работника, если в соответствии с законодательством он должен пройти предварительный и периодические медицинские осмотры; Документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (об инвалидности, донорстве, нахождении в зоне воздействия радиации в связи с аварией на Чернобыльской АЭС и др.); Документ о беременности работницы и возрасте детей для предоставления матери установленных законом условий труда, гарантий и компенсаций. Персональные данные работников включают в себя трудовые договоры, трудовые инструкции, инструкции об изменении условий трудовых договоров, прекращении трудовых отношений, а также инструкции о поощрениях и дисциплинарных мерах, применяемых к работникам. В период действия трудового договора трудовая книжка работника включается в состав персональных данных работника. Для определения объема права работодателя на получение информации о персональных данных работника следует обратить внимание на цель использования персональных данных, что является очень важным ограничением. Данный вид информации может обрабатываться только в целях, указанных в статье 86 (1) Трудового кодекса Российской Федерации. В связи с характером работы персональные данные находятся в ведении отдела кадров. Здесь происходит "окончательное оформление" всей информации о сотрудниках. Поэтому, прежде всего, этот отдел должен упорядочить процесс обработки, передачи и защиты конфиденциальной информации сотрудников. Правила конфиденциальности должны применяться в первую очередь к личным делам, содержащим персональную информацию. Составление личных дел персонала – наиболее сложная и ответственная задача, требующая тщательности и точности в подготовке. Каждая компания в праве самостоятельно определять, какие документы должны быть включены в личное дело. Сотрудники должны помнить, что личные дела должны быть отделены от других документов и надежно храниться в запертом шкафу или ящике. Следует также отметить, что каждый документ, содержащийся в личном деле, имеет свой срок хранения. Некоторые из них имеют более длительный срок хранения и должны быть переданы в Государственный архив (ордера, личные карточки). Отдел кадров должен вести реестр, в котором фиксируются все события, связанные с персональными данными работников, а также регистрировать информацию о движении документов, содержащихся в личных делах, и самих личных дел. В журнале должны быть указаны дата выдачи и возврата документа (личное дело), период использования, цель выдачи и название выданного документа (личное дело). Наличие всех документов должно быть проверено по списку в присутствии лица, возвращающего личное дело. Лицо, получившее документ (личное дело) во временное пользование, не имеет права делать пометки, исправления, новые записи, удалять документы из личного дела или вставлять новые документы. Ключевым требованием политики конфиденциальности является то, что сотрудники не должны разглашать доверенную им конфиденциальную информацию и несут личную ответственность за безопасное хранение своей информации и носителей. Поэтому от лиц, уполномоченных на обработку персональных данных, следует требовать не разглашать доверенную им информацию, строго придерживаться правил работы с персональными данными и обеспечивать безопасное хранение носителей конфиденциальной информации. Они также должны незамедлительно сообщать уполномоченному лицу о потере ключей, печатей и штампов и предоставлять письменные и устные объяснения по поводу любого нарушения правил. Положение также предусматривает ограничения на передачу персональных данных лицам, не имеющим доступа к этим данным, вынос с рабочего места документов, не необходимых для работы, и запрещает другие действия, которые могут привести к потере носителей информации или разглашению конфиденциальной информации. Может быть полезно включить такие обязательства в условия закупки или должностную инструкцию. Кроме того, согласно статье 57 (3) Трудового кодекса, в трудовых договорах с такими специалистами работники могут быть обязаны не разглашать информацию, которая считается охраняемой законом тайной и была получена при исполнении служебных обязанностей. В этом случае работодатель должен ознакомить сотрудников с местными нормативными актами компании, в том числе касающимися обработки и защиты персональных данных. Это процедуры доступа, которые также могут быть применены к сотрудникам отдела кадров. Система защиты конфиденциальных данных должна предусматривать регулярные проверки наличия документов и других носителей, содержащих персональные данные сотрудников, и соблюдения правил обращения с такими данными. [3] Опыт показывает, что одни лишь административные меры не гарантируют полной защиты конфиденциальной информации. Надежная защита во многом зависит от внутреннего развития и обучения сотрудников. Персонал также является одним из основных путей утечки информации; отделы кадров должны сосредоточиться на обучении сотрудников, уполномоченных работать с личной информацией, развитии их навыков работы с носителями конфиденциальной информации и ежедневном блокировании путей утечки информации. Именно здесь могут помочь беседы один на один, напоминание об обязанностях и разъяснение юридических последствий раскрытия информации. Конфиденциальность, безопасность и защита персональных данных в отделе кадров обеспечивается путем придания им статуса служебной тайны. Операции с персональными данными должны быть строго регламентированы в соответствии с требованиями к обработке и хранению информации ограниченного доступа. Режим конфиденциальности персональных данных прекращает свое действие, когда физические лица больше не могут быть идентифицированы или когда истекает 75-летний срок хранения, если иное не предусмотрено законом. Персональные данные содержатся в документации отдела кадров. Это: Документы, связанные с подбором персонала; Документы, сопровождающие процесс оформления трудовых правоотношений гражданина (при решении вопросов о приеме на работу, переводе, увольнении и т.п.); Материалы анкетирования, тестирования, проведения собеседований с кандидатами на должность; Трудовые договоры, соглашения, устанавливающие взаимоотношения сторон; Подлинники и копии приказов по личному составу; Личные дела и трудовые книжки сотрудников; Дела, содержащие основания к приказам по личному составу; Дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям и т.п.; Справочно-информационный банк данных по персоналу - учетно-справочный аппарат (картотеки, журналы, базы данных и др.); Подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству предприятия, руководителям структурных подразделений и служб; Копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления, муниципальные и другие учреждения. [9] При работе с персональными данными сотрудниками отделов кадров должны соблюдаться следующие основополагающие принципы по их защите: Личная ответственность руководства предприятия и работников отдела кадров за сохранность и конфиденциальность сведений о работе отдела и персональных данных, а также о носителях этой информации; Разбиение (дробление) персональных данных между разными руководителями предприятия и работниками отдела кадров; Наличия четкой разрешительной системы доступа руководства предприятия и работников отдела кадров к документам, содержащим персональные данные; Проведения регулярных проверок наличия традиционных и электронных документов, дел и баз данных у работников отдела и кадровых документов в подразделениях предприятия. [9] Главное здесь – четкая организация функций сотрудников отдела кадров в различных видах документов, дел, карточек, личных дел и баз данных. Посторонние лица не должны быть ознакомлены с методами обработки, обработки, ведения и хранения рассылок, рабочими процессами, документами, делами и рабочими материалами отдела кадров. Под не уполномоченным лицом понимаются не только злоумышленники и их подельники, но и сотрудники компании, у которых есть оперативные обязанности, не связанные с их HR-работой. Также следует помнить, что сотрудники отдела кадров не должны знать порядок работы других сотрудников отдела. Для этого первый руководитель компании должен издать приказ работнику отдела кадров, предоставив ему комплект документов, необходимых для обоснования сведений о функциях, указанных в должностной инструкции. Также необходима система внедрения доступа сотрудников и корпоративного контроля в отделе кадров, структурного разделения на ведомственные документы, личной ответственности этих должностных лиц и сотрудников за сохранность и конфиденциальность персональных данных. Работники отдела кадров не допускаются к ознакомлению с документами и материалами отдела. Мы рекомендуем закрепить каждого за определенной группой людей в вашей компании для выполнения самых разных функций, от подбора кандидатов на вакансии до архивирования документов. [8] При необходимости перераспределения обязанностей между работниками отдела (например, если один из них болен) начальник отдела кадров должен издать соответствующий приказ с указанием характера, продолжительности и дополнений изменений. Документы, файлы и базы данных организованы. Следует отметить следующие особенности обработки и хранения документов: Приказы по персоналу создаются, исполняются и хранятся в отделе кадров, а не в бэк-офисе. Учет, создание, ведение и хранение личных дел осуществляется сотрудником отдела кадров, который несет персональную ответственность за сохранность документов дела и доступ к записям другого сотрудника. Материалы, связанные с вопросами, тестами и собеседованиями кандидатов, размещаются не в личном деле работника, а в специальном файле с пометкой «Совершенно конфиденциально». Это объясняется тем, что такие материалы раскрывают личные и моральные качества сотрудников, а содержащаяся в них информация в случае ее раскрытия может принести пользу злоумышленнику. Экзаменационный материал для работающих сотрудников, чьи удостоверения оформляются в отдельный файл и опечатываются строго конфиденциально. При удалении документа из личного дела в справочнике дел делается запись с указанием причины удаления и нового местонахождения. Сделать копии изъятых документов и представить их в замен изъятых. Ревизские отметки и копии, заверенные сотрудниками отдела кадров и работниками. Запрещается подменять документы в личных делах. Вновь измененные документы будут размещены рядом с ранее отправленными документами. Приказом первого сотрудника компании должен быть установлен процесс выдачи и понимания личных дел сотрудников руководителям. Личные дела могут быть оформлены только на рабочем месте первого руководителя компании, заместителя начальника отдела кадров и начальника отдела кадров (администрации). Для подписания акта проверки выдается дело (в том числе начальнику отдела кадров или, при наличии письменного разрешения, сотруднику отдела). При возврате дела внимательно проверьте сохранность документов и убедитесь в отсутствии повреждений или вкраплений в деле других документов или при их замене. Рассмотрение дела производится в присутствии руководителя. Личные дела нельзя передавать администраторам через секретарей или помощников. Другие менеджеры в компании могут видеть только личные дела своих непосредственных подчиненных. Другая информация и документы отдела кадров не допускаются в справочную базу данных. Социализация дела происходит в отделе кадров под наблюдением сотрудников, ответственных за безопасность и управление личными делами. Факт владения фиксируется на контрольной карточке в вашем личном деле. Работники компании имеют право знать только личные дела и трудовые книжки, учетные карточки, в которых отражаются персональные данные. Ознакомление с личными делами также отмечается в контрольной карточке. [10] Справочные базы данных и деловая информация (карты сотрудников, журналы и личные записные книжки) о персонале компании не требуют более строгого контроля. Отчетность и отчетность отдела являются каналом для несанкционированного получения и неправомерного использования личных данных. Что касается Teams, менеджер сначала определяет, кто может запрашивать какую информацию, когда и с какой целью у HR. И, что наиболее важно, определены процедуры для хранения дополнительной информации для выполнения задачи. Где находится эта информация и кто несет ответственность за ее безопасность и конфиденциальность? Документы, не относящиеся к HR, могут иметь пометку «Конфиденциально» или «Совершенно Конфиденциально». Копии всех отчетов и справочных документов должны храниться в отделе кадров. Рекомендуется возвращать оригиналы в отдел кадров для включения в случаях, когда они больше не нужны, а не хранить там копии. [16] В структурных подразделениях предприятия могут быть следующие документы, содержащие персональные данные: Журнал табельного учета с указанием должностей, фамилий и инициалов сотрудников (находится у работника, ведущего табельный учет, - табельщика); Штатное расписание (штатный формуляр) подразделения, в котором может дополнительно указываться, кто из сотрудников занимает ту или иную должность, вакантные должности (находится у руководителя подразделения); Дело с выписками из приказов по личному составу, касающимися персонала подразделения (находится у табельщика). У начальника отдела может быть журнал регистрации сотрудников, в котором указываются основные биографические данные каждого сотрудника (год рождения, образование, место жительства, домашний телефон и т. д.). Все перечисленные документы должны быть включены в номенклатуру дел и храниться в соответствующих файлах ограниченного доступа. Не реже одного раза в год сотрудники отдела кадров проверяют наличие этих дел в части, их комплектность, правильность их ведения и уничтожения. В отделе кадров файлы, картотечные шкафы, бухгалтерские журналы и бухгалтерские книги хранятся в закрытых металлических шкафах, которые можно запирать в рабочее и не рабочее время. Сотрудникам не разрешается оставлять документы на столах или открывать шкафчики при выходе из учреждения в любое время. У каждого сотрудника должен быть отдельный шкафчик для хранения файлов и назначенный шкафчик для файлов. Рабочие файлы хранятся в сейфе. Категорически запрещается оставлять на рабочем столе бумаги, картотеки, служебные записки и другие материалы в не рабочее время. Помимо работы с документами, сотрудники отдела кадров много времени тратят на общение с посетителями. Этот вид работ также должен быть строго регламентирован. Посетители могут представлять определенную угрозу информационной безопасности отдела кадров и физической безопасности сотрудников отдела. Часы приема различаются для сотрудников компании и для тех, кто не попадает в эту категорию. В часы приема сотрудникам отдела не разрешается выполнять функции, не связанные с приемом, а также вести деловые или личные разговоры по телефону. На стойке регистрации не должно быть никаких документов, кроме тех, которые относятся к этому гостю. Ответы на вопросы будут даны лично заинтересованному лицу. Мы не можем ответить на вопросы о передаче личной информации по телефону или факсу. Ответы на законные письменные запросы от других агентств и организаций будут предоставляться в письменной форме при условии, что они не раскрывают чрезмерных объемов личной информации. При приеме на работу в отдел кадров учитываются требования, которые разработаны для должностей, связанных с хранением и обработкой конфиденциальной информации и документов. Здесь проводится анализ личных и моральных качеств претендента на должность. Подпишите обязательства о конфиденциальности защищаемой информации. Регистрация по приказу первого лица компании для доступа к конфиденциальной информации: Обучение правилам защиты конфиденциальной информации и регулярное инструктирование по отдельным вопросам защиты; Контроль соблюдения действующих инструкций по работе с конфиденциальными документами. Иными словами, порядок функционирования отдела кадров должен быть подчинен решению задач обеспечения безопасности персональных сведений, их защиты от разного рода злоумышленников. Информация о персональных данных работников может быть предоставлена в государственные органы в порядке, установленном федеральным законом. Работодатель не вправе предоставлять персональные данные работников третьим лицам без письменного согласия работника, за исключением случаев, когда это необходимо для предотвращения угрозы жизни и здоровью работников. [9] В случае, если лицо, направляющее запрос, не уполномочено федеральным законом на получение персональных данных работника или если работник не имеет согласия в письменной форме на предоставление персональных данных, работодатель вправе отказать в предоставлении персональных данных. Заявитель получит письменное уведомление об отказе в предоставлении персональных данных. Персональные данные работников могут быть переданы представителю работников в порядке, установленном трудовым законодательством, и в объеме, необходимом для исполнения представителем работников своих обязанностей. Работодатель обязан обеспечить ведение перечня персональных данных выданного работнику, в отношении которого зарегистрирован запрос, сведений о лице, обратившемся с запросом, дате передачи персональных данных или дате уведомления об отказе в предоставлении персональных данных, и передаваемая информация также записывается. Если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим нормативным актом на получение информации о персональных данных работника, работодатель обязан отказать в предоставлении информации такому лицу. Запрашивающему лицу вручается уведомление об отказе в предоставлении информации, а копия уведомления хранится в личном деле работника. |