Лекция № 9 по предмету «Документирование управленческой деятельности».
Тема: «Право работника».
Важной гарантией защиты персональных данных работников является закрепление их прав в этой сфере. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:
1) полную информацию об их персональных данных и обработке этих данных;
2) свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
3) определение своих представителей для защиты своих персональных данных;
4) доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
5) требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства РФ. При отказе работодателя исключить или исправить персональные данные работника он имеет, право заявить в письменной форме работодателю о своём несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
6) требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведённых в них исключениях, исправлениях и дополнениях;
7) обжалование в суд любых правомерных действий или бездействий работодателя при обработке и защите его персональных данных.
Закрепление в Трудовом кодексе системы прав работников, должно гарантировать защиту персональных данных при использовании их работодателем в процессе трудовой деятельности. Любое юридическое лицо в силу требований ФЗ от 27.07.2006 №152 «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер работодатель вправе определять самостоятельно. Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней защите персональных данных. К мерам по внутренней защите персональных данных относятся следующие действия:
1) ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Это сотрудники отделов кадров или ответственных за кадровое делопроизводство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;
2) назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;
3) утверждение перечня документов, содержащих персональные данные;
4) издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;
5) ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами, проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;
6) рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;
7) утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;
8) утверждение порядка уничтожения информации;
9) выявление и устранение нарушений требований по защите персональных данных;
10) проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.
Среди мер по внешней защите персональных данных следует выделить такие:
- введение пропускного режима, порядка приёма и учёта посетителей;
- внедрение технических средств охраны, программных средств защиты на электронных и др.
Несмотря на то что, законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:
1) общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;
2) список лиц, обрабатывающих персональные данные;
3) приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и её работниками законодательства о персональных данных. В том числе требований к их защите, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать приём и обработку обращений и запросов субъектов персональных данных и контролировать приём и обработку таких обращений и запросов;
4) положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных правомерных действий в отношении персональных данных. В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации – паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т.д.);
5) локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений. В компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, должен вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.