Защита персональных данных работника

      Информационная  база для контроля работы персонала, владеющего

конфиденциальной информацией, формируется на основе анализа степени

осведомленности работников в секретах фирмы. Эта работа входит в состав

комплексного  аналитического исследования по поиску и обнаружению каналов утраты персоналом конфиденциальной информации. Объектами комплексного аналитического исследования являются: выявление,

классификация и постоянное изучение источников и  объективных каналов

распространения конфиденциальной информации, а также обнаружение и анализ степени опасности источников угрозы информации. Важен превентивный контроль безопасности ценной информации.

      Одновременно  подлежат специальному (экстремальному) учету все замеченные несанкционированные или ошибочные действия персонала с документами и информацией, нарушения системы доступа к информации и правил работы с конфиденциальными документами и базами электронных данных. Подобные факты подлежат оперативному, тщательному сравнительному анализу, а результаты анализа должны докладываться непосредственно первому руководителю фирмы.

      В целях превентивного контроля рекомендуются  следующие учетные и аналитические действия по отношению к персоналу, который обладает или может обладать конфиденциальной информацией:

·        анализ реального состава известной  персоналу конфиденциальной

информации и динамики ее распределения по структурным подразделениям фирмы;

·      анализ степени владения конфиденциальной информацией руководством

фирмы, руководителями структурных подразделений, направлений деятельности и каждым работником, т.е. учет уровня и динамики их реальной осведомленности в секретах фирмы;

·        анализ выявленных потенциальных и  реальных источников угрозы

персоналу в целом и каждому отдельному работнику с целью завладеть ценной информацией фирмы (конкурентов, соперников, криминальных структур и отдельных преступных элементов);

·        анализ эффективности защитных мер, предпринятых по отношению к

персоналу, их действенности в обычных условиях и при активных действиях

злоумышленника.

      Своевременный учет состава конфиденциальной информации, известной каждому из работников фирмы, является наиболее информативной частью аналитической работы в целом. Учитываются любые контакты любого работника фирмы с конфиденциальными сведениями, как санкционированные, так и случайные (ошибочные). Подлежит также учету выявленное несанкционированное ознакомление с информацией, к которой работник не имел разрешения на доступ, в том числе несанкционированное ознакомление с информацией работника, вообще не имеющего допуска для работы с конфиденциальной информацией.

      Для учета и последующего анализа  степени осведомленности работников в секретах фирмы ведется специальная учетная форма. Традиционная (карточная) или электронная учетная форма должна содержать ряд предметных зон, позволяющих сопоставлять функциональные обязанности сотрудника и состав конфиденциальной информации, полученной сотрудником, и который должен соответствовать выполняемым видам работы. Целесообразно включить в учетную форму следующие зоны:

·  зона штатных функциональных обязанностей работника, при реализации которых используется конфиденциальная информация (по утвержденной

должностной инструкции);

·   зона изменений и дополнений, внесенных в функциональные обязанности

работника, с указанием документа-основания, его даты и фамилии

руководителя, подписавшего документ;

·   зона стандартного состава конфиденциальные сведений или их

индексов, по перечню конфиденциальной информации фирмы, к которым допущен работник в соответствии с должностной инструкцией (с указанием наименования документа о допуске, его даты, номера и фамилии руководителя, подписавшего документ);

·   зона изменений и дополнений в составе конфиденциальных сведений, к

которым допускается работник в связи с пересмотром его должностных

обязанностей (с указанием наименований и дат документов о допуске, фамилий руководителей, подписавших документы);

·   зона документированной информации (документов), с которой знакомится или работает сотрудник, с указанием наименований документов, их дат и

номеров, краткого содержания, целевого использования содержащихся в

документах  конфиденциальных сведений или их индексов по перечню, фамилий руководителей, разрешивших работу с документами;

·  зона недокументированной конфиденциальной информации, которая стала известна работнику, с указанием даты и цели ознакомления, фамилии

руководителя, разрешившего ознакомление, состава конфиденциальных сведений или их индексов по перечню;

·   зона обнаруженного несанкционированного ознакомления работника с

конфиденциальной информацией с указанием даты ознакомления, условий или причин ознакомления, фамилии виновного работника, места ознакомления, состава конфиденциальных сведений или их индексов по перечню.

      Анализ  осуществляется сравнением содержания записей в зонах и индексов известной сотруднику конфиденциальной информации, т.е. ведется поиск несоответствия.

      По  фактам разглашения или утечки конфиденциальной информации, утраты документов и изделий, другим грубым нарушениям правил защиты информации организуется служебное расследование. Служебное расследование проводит специальная комиссия, формируемая приказом

первого руководителя фирмы. Расследование  предназначено для выяснения

причин, всех обстоятельств и их последствий, связанных с конкретным фактом, установления круга виновных лиц, размера причиненного фирме ущерба. По результатам расследования даются рекомендации по устранению причин случившегося.

  План проведения служебного расследования:

·       определение возможных версий случившегося (утрата, хищение,

уничтожение по неосторожности, умышленная передача сведений, неосторожное разглашение и т.д.);

·       определение (планирование) конкретных мероприятий по проверке

версий (осмотр помещений, полистная проверка документации, опрос

сотрудников, взятие письменного объяснения у подозреваемого лица и т. д.);

·       назначение ответственных лиц за проведение каждого мероприятия;

·       указание сроков проведения каждого мероприятия;

·       определение порядка документирования;

·       обобщение и анализ выполненных  действий по всем мероприятиям;

·       установление причин утраты информации, виновных лиц, вида и объема ущерба;

·       передача материалов служебного расследования с заключительными

выводами первому руководителю фирмы для принятия решения.

      При проведении служебного расследования все мероприятия обязательно документируются в целях последующего комплексного анализа выявленного факта. Обычно анализируются следующие виды документов:

·  письменные объяснения опрашиваемых лиц, составляемые в произвольной

форме;

· акты проверки документации и помещений, где указываются фамилии

проводивших проверку, их должности, объем и виды проведенного осмотра,

результаты, указываются подписи этих лиц и Дата;

·  другие документы, относящиеся к расследованию (справки, заявления,

планы, анонимные письма и т. д.).

      Служебное расследование проводится в кратчайшие сроки. По результатам анализа составляется заключение о результатах проведенного служебного расследования, в котором подробно описывается проведенная работа, указываются причины и условия случившегося и полный анализ происшедшего. [14]

                                
 
 
 
 
 
 

2. Ответственность за нарушение правил работы с персональными данными. 

      Статья 90 ТК РФ предусматривает ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника. Нарушитель может понести дисциплинарную, административную, гражданско-правовую и уголовную ответственность.

                        
 
 
 

2.1   Дисциплинарная ответственность 

      Дисциплинарная  ответственность кадровика. В отношении  сотрудника-кадровика работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных статьей 192 Трудового кодекса РФ: замечание, выговор, увольнение. Более того, кодекс предусматривает специальное основание для расторжения трудового договора по инициативе работодателя в случае разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (п.п. "в" п.6 ст.81).

      Дисциплинарная  ответственность работников является самостоятельным видом юридической ответственности. К дисциплинарной ответственности могут привлекаться работники, совершившие дисциплинарный проступок. Как и любое другое правонарушение, дисциплинарный проступок обладает совокупностью признаков: субъект, субъективная сторона, объект, объективная сторона.

      Субъектом дисциплинарного проступка может  быть гражданин, состоящий в трудовых правоотношениях с конкретной организацией и нарушающий трудовую дисциплину.

      Субъективной  стороной дисциплинарного проступка  выступает вина со стороны работника. Она может быть в форме умысла или по неосторожности.

      Объект  дисциплинарного проступка - внутренний трудовой распорядок конкретной организации. Объективной стороной здесь выступают вредные последствия и прямая связь между ними и действием (бездействием) правонарушителя.

      В соответствии с заключенным трудовым договором работодатель вправе требовать от работника выполнения трудовых обязанностей. Согласно ст. 192 Кодекса работодатель имеет право, но не обязан привлекать к дисциплинарной ответственности работника, совершившего дисциплинарный проступок. Однако следует знать, что настоящим Кодексом, другими федеральными законами, уставами и положением о дисциплине могут быть определены и иные правила при совершении дисциплинарного проступка.

      Разглашение может быть совершено среди коллег, знакомых, родственников и других лиц, не имеющих законного доступа к ним. Кроме разглашения основными видами нарушений правил работы с персональными данными являются незаконное получение или использование сведений, составляющих персональные данные, и утрата материальных носителей, содержащих данную информацию. Следует подчеркнуть, что увольнение работника может быть осуществлено только за разглашение персональных данных. В иных случаях работодатель вправе наложить на виновное лицо другое дисциплинарное взыскание.

      К дисциплинарной ответственности могут  быть привлечены лишь те работники кадровой службы, которые приняли на себя обязательство соблюдать правила работы с персональными данными. То есть условие о неразглашении сведений, составляющих персональные данные, было включено в их трудовой договор, они были ознакомлены с локальными нормативными актами по вопросу защиты этой конфиденциальной информации, а работодатель создал для работы все необходимые условия. Если такая подготовительная работа не была проведена, то специалист,