• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
• передавать персональные данные работника представителям работников в порядке, установленном ТК РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Раздел «Доступ к персональным данным» определяет список сотрудников, которые могут иметь доступ к этой информации. Обычно это:
• руководитель организации;
• руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);
• при переводе из одного структурного подразделения в другое, доступ к персональным данным сотрудника может иметь руководитель нового подразделения;
• сотрудники бухгалтерии;
• сотрудники службы управления персоналом;
• сотрудники компьютерных подразделений;
• сам работник, носитель данных.
Также к числу имеющих право доступа к персональным данным вне организации можно отнести государственные и негосударственные функциональные структуры в сфере своей компетенции:
• налоговые инспекции;
• правоохранительные органы;
• органы статистики;
• страховые агентства;
• военкоматы;
• органы социального страхования;
• пенсионные фонды;
• подразделения муниципальных органов управления;
• другие организации с письменного разрешения сотрудника.
Так как персональные данные являются конфиденциальной информацией, в Положении обязательно существует раздел «Защита персональных данных». Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.
Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать следующие меры:
• ограничить и регламентировать состав работников, функциональные обязанности которых требуют конфиденциальных знаний;
• установить строгое избирательное и обоснованное распределение документов и информации между работниками;
• рационально разместить рабочие мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
• ознакомить работников с требованиями нормативно – методических документов по защите информации и сохранении тайны;
• обеспечить необходимые условия в помещении для работы с конфиденциальными документами и базами данных;
• обеспечить защиту персональных данных сотрудника на электронных носителях;
• определить и регламентировать состав работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
• организовать порядок уничтожения информации;
• своевременно выявлять нарушения требований разрешительной системы доступа работниками подразделения;
• проводить воспитательную и разъяснительную работу с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
• не допускать выдачу личных дел сотрудников на рабочие места руководителей.
Для обеспечения внешней защиты персональных данных также рекомендуется разработать определенные правила:
• порядок приема, учета и контроля деятельности посетителей;
• пропускной режим организации;
• учет и порядок выдачи удостоверений;
• технические средства охраны, сигнализации;
• порядок охраны территории, зданий, помещений, транспортных средств;
• требования к защите информации при интервьюировании и собеседованиях.
Раздел «Права и обязанности работника» закрепляет права работника, регламентирующие защиту его персональных данных, и обязывает его сообщать работодателю комплекс достоверных, документированных персональных данных, состав которых установлен ТК РФ, а также своевременно сообщать работодателю об изменении своих персональных данных.
Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы. Раздел Положения об обработке персональных данных «Ответственность за разглашение конфиденциальной информации, связанной с персональными данными» констатирует, что юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
Статья 90 ТК РФ устанавливает ответственность лиц, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника.
Статья 5.27 КоАП РФ устанавливает ответственность должностных лиц, которые должны нести дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Статья 5.39 КоАП РФ устанавливает ответственность должностных лиц за неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное представление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации – наложение административного штрафа в размере от 5 до 10 минимальных размеров оплаты труда.
В соответствии с ГК РФ лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.
Нарушение режима защиты, обработки и порядка использования наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.