Читаем Кадровая служба предприятия: делопроизводство, документооборот и нормативная база полностью

Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

• не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

• не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

• предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;

• разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

• передавать персональные данные работника представителям работников в порядке, установленном ТК РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Раздел «Доступ к персональным данным» определяет список сотрудников, которые могут иметь доступ к этой информации. Обычно это:

• руководитель организации;

• руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);

• при переводе из одного структурного подразделения в другое, доступ к персональным данным сотрудника может иметь руководитель нового подразделения;

• сотрудники бухгалтерии;

• сотрудники службы управления персоналом;

• сотрудники компьютерных подразделений;

• сам работник, носитель данных.

Также к числу имеющих право доступа к персональным данным вне организации можно отнести государственные и негосударственные функциональные структуры в сфере своей компетенции:

• налоговые инспекции;

• правоохранительные органы;

• органы статистики;

• страховые агентства;

• военкоматы;

• органы социального страхования;

• пенсионные фонды;

• подразделения муниципальных органов управления;

• другие организации с письменного разрешения сотрудника.

Так как персональные данные являются конфиденциальной информацией, в Положении обязательно существует раздел «Защита персональных данных». Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать следующие меры:

• ограничить и регламентировать состав работников, функциональные обязанности которых требуют конфиденциальных знаний;

• установить строгое избирательное и обоснованное распределение документов и информации между работниками;

• рационально разместить рабочие мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

• ознакомить работников с требованиями нормативно – методических документов по защите информации и сохранении тайны;

• обеспечить необходимые условия в помещении для работы с конфиденциальными документами и базами данных;

• обеспечить защиту персональных данных сотрудника на электронных носителях;

• определить и регламентировать состав работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

• организовать порядок уничтожения информации;

• своевременно выявлять нарушения требований разрешительной системы доступа работниками подразделения;