- все персональные данные работника следует получать у него самого. Если персональные данные работника, возможно, получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
- защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет его средств, в порядке, установленном федеральными законами;
- работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
В главе 2 Федерального закона «О персональных данных» так же описаны основные принципы и условия обработки персональных данных. Вот некоторые из них:
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно[5].
IV. Формирование и ведение дел, касающихся персональных данных работника.
В этом разделе можно отметить, что персональные данные работника подразделения содержатся в документе персонального учета работников - в личной карточке работника, которая заполняется после оформления работника в отделе управления персоналом. Как уже отмечалось выше, личные карточки, которые заполняются в структурных подразделениях, утратили юридическую силу, но продолжают существовать в подразделениях, так как значительно облегчают работу ответственных за ведение табельного учета. Эти личные карточки работников подразделения хранятся у ответственного за ведение табельного учета.
Помимо карточек персональные данные сотрудников подразделения содержаться в таких документах как списки работников подразделения. Поэтому в разделе, следует указать, каким образом должны храниться эти списки и кто является ответственным за их составление и ведение.
V. Хранение и использование персональных данных работника.
В этом разделе нужно прописать, как будут храниться, и использоваться персональные данные в нашем подразделении. Например, следующим образом. В нашем подразделении помимо личных карточек, списков, есть электронная база данных. Эта база данных храниться на одном компьютере, то есть доступ к сведениям базы имеет только один человек. Так же некоторые сведения о работниках подразделения (списки) хранятся в памяти компьютера.
Картотека с личными карточками работников подразделения находиться у ответственного за ведение табельного учета, так же списки по участкам. Один экземпляр списка структурного подразделения есть у оператора ЭВМ.
Так же в разделе можно указать, кто будет иметь доступ к персональным данным работников подразделения.
VI. Передача персональных данных работника.
Требования к порядку передачи персональных данных установлены статьей Трудового кодекса. Стоит обратить особое внимание на следующие из них:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- передавать персональные данные работника представителям работников в установленном порядке и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций[6].
Так же некоторые правила передачи персональных данных есть в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных».
Помимо этого о передаче персональных данных указано в Положении о защите персональных данных работников ОАО «Сарапульский радиозавод – Холдинг» и его дочерних предприятий.
Мы же в свою очередь в инструкции должны, определить каким образом персональные данные, документы, содержащие персональные данные будут передаваться в нашем подразделении.
VII. Права работников по обеспечению защиты персональных данных, хранящихся у работодателя.
Работники имеют право на полную информацию об их персональных данных и обработке этих данных, свободный доступ к своим персональным данным. Работники могут потребовать исключить или исправить неверные или неполные персональные данные, а также данные, обработанные с нарушением установленных требований.
VIII. Обязанности работника по обеспечению достоверности его персональных данных.
Чтобы обеспечить достоверность персональных данных, работники обязаны предоставлять работодателю сведения о себе. В случае изменения сведений, составляющих персональные данные (фамилия, имя, отчество, адрес, паспортные данные, сведения об образовании, состоянии здоровья (при выявлении противопоказаний для выполнения работы, обусловленной трудовым договором) и т.п.), работник обязан своевременно сообщить об этом ответственному за ведение табельного учета.
IX. Ответственность работодателя и работника за нарушение правил работы с персональными данными.
В этом разделе указывается ответственность за нарушение правил работы с персональными данными, ответственность, как работника, так и работодателя.
Наличие в подразделении инструкции, содержащей вышеперечисленные разделы, позволила бы правильно организовать работу с документами, содержащими персональные данные, и ответила на вопросы, возникающие при работе с персональными данными.
Следующим нашим этапом будет разработка системы доступа к документам, содержащим персональные данные, то есть разработка разрешительной системы к информации конфиденциального характера.
Одним из разделов нашей инструкции является «хранение и использование персональных данных работника», мы указали, что раздел будет содержать информацию о том, кто будет иметь доступ к персональным данным сотрудников подразделения, а что бы это определить, нам необходима разрешительная система.