- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления;
7.2.2. Надзорно - контрольные органы имеют доступ к информации только в сфере своей компетенции.
7.2.3. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.
7.2.4. Другие организации.
Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.
7.2.5. Родственники и члены семей.
Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.
В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия (в соответствии с положениями Уголовного кодекса РФ).
8. Защита персональных данных
Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
Защита персональных данных представляет собой жестко регламентированный и динамический технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
8.1.«Внутренняя защита».
Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документами и базами данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами компании. Для защиты персональных данных работников необходимо соблюдать ряд мер:
- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и информации между работниками;
- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание работником требований нормативно – методических документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
- организация порядка уничтожения информации;
- своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;
- воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только Генеральному директору, Начальнику отдела персонала и в исключительных случаях, по письменному разрешению Генерального директора, руководителю структурного подразделения.
8.1.1.Защита персональных данных сотрудника на электронных носителях.
- Все файлы (папки), содержащие персональные данные сотрудника, должны быть защищены паролем и иными средствами идентификации и аутентификации (в т.ч. с “разделением ключа”), которые обеспечивают руководителю службы управления персоналом и руководителю службы информационных технологий полный и безопасный авторизованный допуск к персональным данным работников в части их касающейся.
8.2.«Внешняя защита».
Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение компьютерного “вируса”, подмена, фальсификация содержания реквизитов документа и др.
Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур.
Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.
8.2.1. Для защиты персональных данных сотрудников необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим компании;
- учет и порядок выдачи удостоверений;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите информации при интервьюировании и собеседованиях.
8.2.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
8.2.3. Все лица, связанные с получением, обработкой и защитой персональных данных сотрудника обязаны заключить “Соглашение о неразглашении персональных данных сотрудников компании”.
9.Ответственность за разглашение конфиденциальной информации, связанной с
персональными данными.
9.1.Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
9.2.Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
9.3.Каждый сотрудник компании, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
9.4.Лица, виновные в нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) несут дисциплинарную, административную, гражданско – правовую или уголовную ответственность в соответствии с федеральным законом.
10. Заключительные положения.
10.1. Настоящее положение вступает в силу с момента его утверждения Генеральным директором ООО “________________”.
10.2. Изменения и дополнения в настоящее положение могут быть внесены на основании приказа Генерального директора ООО “__________________”, по согласованию с профсоюзным комитетом предприятия либо иными законными представителями работников.
Руководитель Службы
Управления персоналом ____________________ «___»______________ 200__ г.
Руководитель
Юридического отдела ____________________ «___»______________ 200__ г.
Приложение 2.
УтверждаюКОНФИДЕНЦИАЛЬНО
______________ Генеральный директор
ООО “___________________”
“___”______________ 200__г.
Соглашение о неразглашении
персональных данных сотрудника
Я, ______________________________________, паспорт серии ______, номер ______________, выдан ______________________________________________________ “____” ___________ ______ года, понимаю, что получаю доступ к персональным данным сотрудников ООО “_________________”. Я также понимаю, что во время исполнения своих обязанностей, мне приходится заниматься сбором, обработкой и хранением персональных данных сотрудников.
Я понимаю, что разглашение такого рода информации может нанести ущерб сотрудникам фирмы, как прямой, так и косвенный.
В связи с этим, даю обязательство, при работе (сборе, обработке и хранение) с персональными данными сотрудника соблюдать все описанные в “Положении о защите персональных данных сотрудника” требования.
Я подтверждаю, что не имею права разглашать перечисленные ниже сведения:
- анкетные и биографические данные;
- образование;
- сведения о трудовом и общем стаже;
- сведения о составе семьи;
- паспортные данные;
- сведения о воинском учете;
- сведения о заработной плате сотрудника;
- сведения о социальных льготах;
- специальность,
- занимаемая должность;
- наличие судимостей;
- адрес места жительства;
- домашний телефон;
- место работы или учебы членов семьи и родственников;
- характер взаимоотношений в семье;
- содержание трудового договора;
- состав декларируемых сведений о наличии материальных ценностей;
- содержание декларации, подаваемой в налоговую инспекцию;
- подлинники и копии приказов по личному составу;
- личные дела и трудовые книжки сотрудников;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;