Аттестационная работа (ИАР/ВАР) на тему Организация работы с персональными данными в кадровой службе

Содержание:

ВВЕДЕНИЕ 3

1. ТЕОРЕТИЧЕСКИК АСПЕКТЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА 6

1.1 Понятие, категории персональных данных 6

1.2 Документы организации, регулирующие сферу защиты персональных данных 10

1.3. Алгоритм работы с персональными данными 18

2. АНАЛИЗ ДЕЯТЕЛЬНОСТИ ООО «ФОРТУНА ТРАНС ЭКСПРЕСС» В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 26

2.1 Описание ООО «Фортуна Транс Экспресс» 26

2.2 Организация работы кадровой службы с персональными данными в ООО «Фортуна Транс Экспресс» 28

2.3 Разработка рекомендаций для совершенствования работы кадровой службы с персональными данными 33

ЗАКЛЮЧЕНИЕ 38

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И ЛИТЕРАТУРЫ 40

ПРИЛОЖЕНИЯ 43

Введение:

Актуальность исследования. С развитием современного общества идентифицировать личность какого-нибудь конкретного индивида особых усилий не представляет. Предоставление информации о себе – это индивидуальное дело каждого гражданина, исключением являются ситуации при устройстве на работу. Оформляясь на работу, по требованию работодателя работником предоставляются многочисленные документы и заполняются анкеты, содержащие разделы, которые относятся не только к профессиональной деятельности, но и затрагивают аспекты частной жизни: сведения о здоровье, наличие или отсутствие судимости, биометрические данные. При этом, работник может быть против того, чтобы эти сведения становились известными широкому кругу лиц.

Из-за увеличения роста краж персонифицированной информации, личные данные физического лица необходимо ограждать от третьих лиц. Поэтому вопрос обработки и хранения персональных данных работника находится в секторе повышенного внимания любой организации. При заключении трудовых отношений с работником, организация становится оператором персональных данных. Принимая на себя обязанности по защите персональных данных, она становится поднадзорной контролирующим органам.

В стране, в целях защиты конфиденциальной информации, действует специальный правовой режим. Для его обеспечения в Российской Федерации был принят отдельный Федеральный закон № 152-ФЗ «О персональных данных» разрабатываются и принимаются новые подзаконные нормативно- правовые акты.

Таким образом, на текущем этапе развития трудовых отношений, проблема правового регулирования защиты персональных данных работников особенно актуальна, т.к. требует обеспечения гарантий неразглашения информации, которая связана с трудовой деятельностью работника. А также защиту прав личности от невмешательства в её личное пространство работодателя и третьих лиц, преследующих целью нанесение ей материального ущерба и посягательство на её трудовые права и интересы.

Объект исследования – ООО «Фортуна Транс Экспресс»

Предмет исследования – правовые нормы, регулирующие рассматриваемые отношения, а также практика их применения.

Цель – исследование организации работы с персональными данными в кадровой службе, выявление проблем и внесение предложений по их решению.

Задачи:

-изучить понятие категории, виды и типы персональных данных;

-рассмотреть локальные акты, регулирующие сферу защиты персональных данных;

-дать организационно-экономическую характеристику деятельности предприятия;

— выделить особенности организации работы кадровой службы с персональными данными;

-разработать рекомендаций для совершенствования работы кадровой службы с персональными данными.

Теоретическую основу исследования составляют научные работы отечественных юристов Ф.А. Абаев, В. И. Александрова, А.Ю. Буркова, Т. А. Быкова, М.С. Журавлев и других.

Новизна. Несмотря на то, что огромное количество учёных занимаются проблемой защиты персональных данных работника, тема правового регулирования оборота и защиты персональных данных работника остается недостаточно изученной и требует дальнейшей научной разработки.

Методологическая основа исследования. В работе применяются как общенаучные методы такие как: обобщение, сравнение, синтез, анализ, индукция и дедукция, так и специальные юридические методы: историко-правовой и сравнительно-правовой.

Нормативная основа исследования – Конституция Российской Федерации, , Трудовой кодекс Российской Федерации, Федеральный закон № 152-ФЗ «О персональных данных» и т.д.

Теоретическая и практическая значимость исследования заключается в дальнейшем развитии и совершенствовании законодательного регулирования защиты персональных данных работника. Материалы работы могут послужить основой для последующих научных исследований по данной проблеме.

Структура исследования состоит из введения, двух глав, заключения, списка использованных источников и приложений.

Заключение:

В первой главе работы были исследованы теоретические аспекты защиты персональных данных работника. По итогам исследования модно отметить следующее:

Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные

Согласно закону 152-ФЗ, компании обязаны защищать персональные данные своих сотрудников и клиентов, хранить и обрабатывать их по определенным правилам.

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Перечень локальных актов, а также их содержание зависят от особенностей обработки персональных данных в организации и, соответственно, определяются каждой организацией самостоятельно.

В законе о защите персональных данных упоминаются оператор и субъект персональных данных.

В рамках второй главы работы был проведен анализ деятельности ООО «Фортуна Транс Экспресс» в области защиты персональных данных. По итогам анализа можно сделать следующие выводы:

ООО «Фортуна Транс Экспресс» является динамично развивающие транспортной компанией имеющей хорошие перспективы для дальнейшего развития.

В рамках анализа документации о защите персональных данных в организации было выявлено:

1.В положении отсутствует пункт содержащий алгоритм работы с персональными данными.

То есть получается, что кадровая служба и другие уполномоченные подразделения при работе с персональными данными не всегда могут обратиться к «Положению об организации работы с персональными данными» для ознакомления правил по обеспечению защиты персональных данных служащих.

2. Структура Положения кардинальным образом отличается от рекомендаций Роскомнадзора.

3. Навивание документа «Приказ о назначении ответственных за работу с личной информацией работников» не соответствует законодательству.

Наименование документа должно звучать следующим образом – «О назначении ответственного лица за обеспечение безопасности информации и организацию обработки персональных данных».

В данном приказе обозначается лицо ответственное за организацию работы с персональными данными. Однако эта же информация также дублируется в приложении к «Положению об организации работы с персональными данными.

4. В структурных подразделениях заполняются личные карточки, хотя они и утратили свою юридическую силу, в структурных подразделениях они до сих пор существуют и значительно облегчают работу ответственным за ведение табельного учета (табельщикам, инспекторам табельного учета). На данных, содержащихся в карточках, составляются различные списки так же с содержанием персональных сведений.

5. В ООО «Фортуна Транс Экспресс» оформляется только согласия на обработку персональных данных. Однако по действующему законодательству, вступившему в силу с 1 сентября 2022 года. Необходимо 2 согласия:

1) Согласие на обработку персональных данных

2) Согласие на передачу персональных данных третьим лицам

Фрагмент текста работы:

1. ТЕОРЕТИЧЕСКИК АСПЕКТЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

1.1 Понятие, категории персональных данных

Согласно закону 152-ФЗ [6], компании обязаны защищать персональные данные своих сотрудников и клиентов, хранить и обрабатывать их по определенным правилам. Разберем, что такое персональные данные, какие они бывают, что такое обработка персональных данных и как соблюсти все требования закона.

Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные.

Важно, чтобы данные относились к конкретному человеку. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат. А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.

То же самое касается данных опросов. Если вы анонимно опрашиваете людей об их семейном положении, то не собираете персональные данные. А если спрашиваете ФИО, номер телефона и семейное положение, то по закону всё это персональные данные.

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными [8, с.229].

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

1.Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

2. Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

3. Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека [12].

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.

4.Иные персональные данные

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.

Иные данные — это просто дополнительная информация, они часто могут меняться [10, с.35].

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.

Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.

2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.

3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.

4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку [6].

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.