Требования к помещению для обработки персональных данных

20.05.2018 Выкл. Автор admin

Политика в отношении персональных данных

ПОЛОЖЕНИЕ
по организации и порядку проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Городской центр начисления коммунальных платежей»

1. Термины и определения

персональные данные (ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

угроза или опасность утраты персональных данных – единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

2. Общие положения

2.1. Настоящее положение разработано на основе Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и в соответствии с «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781.

2.2. Обеспечение безопасности ПДн при их обработке в ИСПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия. Для защиты ПДн создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией.

Мероприятия по обеспечению безопасности ПДн формулируются в зависимости от класса ИСПДн, определяемого с учетом возможного возникновения угроз безопасности жизненно важным интересам личности, общества и государства.

2.3. Для обеспечения безопасности ПДн при их обработке в ИСПДн осуществляется защита информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в ИСПДн.

2.4. Для защиты персональных данных необходимо соблюдать ряд мер:

— ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют работы с персональными данными;

— строгое избирательное и обоснованное распределение документов и информации между работниками;

— рациональное размещение рабочих мест, при котором исключалось бы бесконтрольное использование защищаемой информации;

— знание сотрудниками предприятия требований нормативно-методических документов по защите информации;

— наличие необходимых условий в помещениях для работы с конфиденциальными документами и базами данных;

— определение и регламентация состава сотрудников, имеющих право доступа (входа) в помещения, в которых функционируют ИСПДн;

— организация порядка уничтожения информации;

— своевременное выявление нарушений требований разрешительной системы доступа к ПДн;

— обучение сотрудников, воспитательная и разъяснительная работа по вопросам информационной безопасности;

— определение и регламентация состава сотрудников, имеющих право доступа к информационным ресурсам ИСПДн.

3. Основные мероприятия по организации обеспечения безопасности персональных данных

3.1. Под организацией обеспечения безопасности ПДн при их обработке в ИСПДн понимается формирование и реализация совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн.

3.2. Обязанности по реализации необходимых организационных и технических мероприятий для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также иных неправомерных действий с ними, возлагаются на ООО «Городской центр начисления коммунальных платежей» как оператора, осуществляющего обработку персональных данных.

3.3. Ответственным за обеспечение безопасности ПДн при их обработке в ИСПДн ООО «Городской центр начисления коммунальных платежей» назначен заместителя директора по общим вопросам. Функции по разработке и осуществлению мероприятий по организации и обеспечению безопасности ПДн возложены на заместителя директора по общим вопросам.

3.4. Технические и программные средства, используемые для обработки ПДн в ИСПДн, должны удовлетворять установленным в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.

3.5. Обработка персональных данных должна осуществляться на основе принципов:

— законности целей и способов обработки персональных данных и добросовестности;

— соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

— соответствия объема и характера обрабатываемых персональных данных, способов обработки целям обработки персональных данных;

— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

— недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

3.6. Обеспечение безопасности ПДн осуществляется путем выполнения комплекса организационных и технических мероприятий, реализуемых в рамках создаваемой системы (подсистемы) защиты персональных данных (СЗПДн). Структура, состав и основные функции СЗПДн определяются исходя из класса ИСПДн. СЗПДн включает организационные меры и технические средства защиты информации, а также используемые в информационной системе информационные технологии.

3.7. Сотрудники предприятия, ответственные за хранение персональных данных, а также сотрудники предприятия, владеющие персональными данными в силу своих должностных обязанностей, подписывают Обязательство о конфиденциальности (Приложение 1).

3.8. Помещения, в которых хранятся и обрабатываются персональные данные, должны быть оборудованы надежными замками и сигнализацией на вскрытие помещений, в рабочее время данные помещения при отсутствии в них работников должны быть закрыты, проведение уборки помещений должно производиться в присутствии работников подразделений, ответственных за данные помещения.

4. Обязанности должностных лиц, эксплуатирующих ИСПДн, в части обеспечения безопасности персональных данных при их обработке в ИСПДн

4.1. При обработке персональных данных предприятие, выполняя функции оператора ПДн, обязано соблюдать следующие требования:

— обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

— обработка персональных данных сотрудников предприятия осуществляется в целях содействия сотруднику в обучении и должностном росте, обеспечения личной безопасности сотрудника и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества предприятия, учета результатов исполнения им должностных обязанностей;

— персональные данные следует получать лично у субъекта ПДн. В случае возникновения необходимости получения персональных данных субъекта у третьей стороны следует известить об этом объект ПДн заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных;

— запрещается получать, обрабатывать и вносить в ИСПДн не установленные Федеральными законами «О персональных данных» персональные данные о политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;

— при принятии решений, затрагивающих интересы субъекта ПДн, запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

— защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств оператора в порядке, установленном Федеральными законом «О персональных данных», Трудовым кодексом Российской Федерации и иными нормативными правовыми актами Российской Федерации;

— передача персональных данных субъекта ПДн третьей стороне не допускается без письменного согласия субъекта, за исключением случаев, установленных федеральными законами Российской Федерации;

— обеспечивается конфиденциальность персональных данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;

— в случае выявления недостоверных персональных данных или неправомерных действий с ними сотрудников ООО «Городской центр начисления коммунальных платежей», осуществляющих обработку ПДн, при обращении или по запросу субъекта персональных данных, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных, ООО «Городской центр начисления коммунальных платежей», как оператор ПДн, обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту, с момента такого обращения или получения такого запроса на период проверки;

— в случае подтверждения факта недостоверности персональных данных субъекта персональных данных сотрудники ООО «Городской центр начисления коммунальных платежей», осуществляющие обработку ПДн, на основании документов, представленных субъектом персональных данных, или его законным представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязаны уточнить персональные данные и снять их блокирование;

— в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, допущенные нарушения должны быть устранены. В случае невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, персональные данные должны быть уничтожены. Об устранении допущенных нарушений или об уничтожении персональных данных ООО «Городской центр начисления коммунальных платежей» как оператор ПДн, обязан уведомить субъекта ПДн, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган;

— хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

5. Порядок предоставления информации, содержащей персональные данные

5.1. Предоставление и пользование информацией, содержащей персональные данные субъекта, осуществляется на основании письменного разрешения директора. Передача и предоставление ПДн законным пользователям должна осуществляться способом, не допускающим возможность несанкционированного доступа к ним посторонних лиц.

Передача информации, содержащей персональные данные субъекта ПДн, другим учреждениям и организациям, осуществляется только при наличии правомерных письменных запросов и с письменного разрешения директора в размере, который позволяет не разглашать излишний объем персональных сведений.

При передаче персональных данных субъекта ПДн оператор должен соблюдать следующие требования:

— не сообщать персональные данные третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья субъекта ПДн, а также в случаях, установленных федеральным законом;

— не сообщать персональные данные в коммерческих целях без его письменного согласия;

— предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными субъектов ПДн в порядке, установленном федеральными законами;

— разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

— не запрашивать информацию о состоянии здоровья субъекта ПДн, являющегося сотрудником ООО «Городской центр начисления коммунальных платежей», за исключением тех сведений, которые относятся к вопросу о возможности выполнения сотрудником трудовой функции;

Читайте так же:  Договор дезинсекция и дератизация

— передавать персональные данные субъекта ПДн представителю этого субъекта в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

При обращении с запросом о персональных данных сотрудника ООО «Городской центр начисления коммунальных платежей» к работодателю лица, не уполномоченного федеральным законом на получении персональных данных, либо при отсутствии письменного согласия сотрудника на предоставление его персональных данных работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.

6. Порядок организации ведения и периодической проверки электронного журнала обращений пользователей информационной системы к ПДн

6.1. Запросы пользователей информационных систем ПДн предприятия на получение персональных данных, включая лиц, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений.

6.2. Содержание электронного журнала обращений периодически, но не реже одного раза в месяц, проверяется администратором информационной безопасности.

7. Требования к помещениям, в которых располагаются ИСПДн

7.1. ПДн, обрабатываемые в ИСПДн, являются информационными данными, защищаемыми в соответствии с требованиями, установленными законодательством Российской Федерации.

7.2. В соответствии с требованиями ИБ, архивы ПДн и ИСПДн (как на электронных, бумажных, так и на иных носителях), оборудование, доступ к которому должен быть ограничен в силу его важности для технологического цикла предприятия (помещения серверных, АТС, АРМов АИБ и т.п.), а также обработка ПДн в ИСПДн должны производиться в помещениях, относящихся к категории «помещения ограниченного доступа».

7.3. Обработка ПДн в ИСПДн также должна производиться в помещениях ограниченного доступа.

7.4. Помещения ограниченного доступа должны располагаться в контролируемой зоне.

7.5. Пребывание посторонних лиц в помещениях разрешено только в сопровождении сотрудников, работающих в указанных помещениях, и только с разрешения руководства вышеупомянутых сотрудников.

7.6. Допуск в помещения ограниченного доступа вспомогательного и обслуживающего персонала (уборщиц, электромонтеров, сантехников и т.д.) производится только в случае служебной необходимости.

7.7. В случае, когда помещения ограниченного доступа располагаются на первых и последних этажах здания, их окна должны быть оснащены сигнализацией.

7.8. Двери помещений ограниченного доступа не должны отличаться от дверей других помещений и не должны иметь обозначающих и предупреждающих надписей и табличек.

7.9. Внутренняя планировка и расположение рабочих мест в помещениях ограниченного доступа должны обеспечивать исполнителям работ недоступность и сохранность доверенных им ПДн.

7.10. На случай пожара, аварии или стихийного бедствия должны быть разработаны специальные инструкции, в которых предусматривается порядок вызова администрации, должностных лиц, вскрытие помещений ограниченного доступа, очередность и порядок спасения документов, материалов и изделий, содержащих ПДн, а также порядок дальнейшего их хранения.

7.11. Помещения ограниченного доступа, предназначенные для размещения архивов, предназначенные для размещения АРМ выработки ключей шифрования и ЭЦП, предназначенные для размещения оборудования, доступ к которому должен быть ограничен, должны отвечать следующим требованиям:

— помещение должно располагаться в контролируемой зоне;

— двери помещения должны иметь надежные запоры, приспособления для опечатывания, либо должны быть оснащены контроллерами, включенными в систему контроля ограничения доступа;

— желательно наличие видеокамеры включенной в систему видеозаписи, контролирующей вход в помещение;

— должны быть задействованы все меры, исключающие неконтролируемое пребывание в помещении любых лиц, включая сотрудников сокращённое наименование, не допущенных к работе с ПДн;

— помещение должно быть оборудовано датчиками пожарной и охранной сигнализации, желательно имеющими отдельные (не связанные с другими помещениями) шлейфы сигнализации, включенные в пульты охранно-пожарной сигнализации;

— помещение должно быть оборудовано средствами пожаротушения, желательно наличие автономной автоматической системы пожаротушения;

— помещение должно быть оборудовано необходимым количеством стеллажей и/или шкафов для хранения архивных носителей;

— микроклимат (температурно-влажностный режим) помещения должен отвечать требованиям по сохранности архивных носителей, а условия хранения должны исключать возможность их повреждения (коробления, пересыхания, изгиба и вредного воздействия пыли, магнитных и электрических полей или ультрафиолета);

— от двери помещения должны быть резервные ключи;

— помещение, предназначенное для хранения резервных копий, не должно совмещаться с помещением, в котором размещается оборудование, создающее и (или) использующее указанные резервные копии.

— размещение в помещении оборудования и вспомогательных технических средств должно отвечать санитарно-гигиеническим нормам, а также требованиям техники безопасности и пожарной безопасности.

7.12. Работник, осуществляющий хранение архивов и/или резервных копий ИСПДн, должен иметь печать для опечатывания дверей и сейфа или металлического хранилища.

7.13. Выполнение требований по обеспечению ИБ на рабочих местах осуществляется работниками, работающими в помещениях ограниченного доступа.

7.14. Ответственность за невыполнение требований по ИБ для помещений ограниченного доступа несут руководители структурных подразделений, работники которых работают в этих помещениях.

8. Ответственность за нарушение требований, регулирующих получение, обработку и хранение персональных данных сотрудника

8.1. Лица, виновные в нарушении требований, регулирующих получение, обработку и хранении персональных данных сотрудника несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

8.2. Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы:

— руководитель, разрешающий доступ сотрудника к персональным данным несет персональную ответственность за данное разрешение;

— каждый сотрудник несет единоличную ответственность за сохранность носителей персональных данных и соблюдение конфиденциальности информации;

— сотрудник ООО «Городской центр начисления коммунальных платежей», предоставивший работодателю подложные документы или заведомо ложные сведения о себе, либо своевременно не сообщивший об изменениях персональных данных, несет дисциплинарную ответственность, вплоть до увольнения.

8.3. Лица, виновные в нарушении условий использования средств защиты информации или нарушении режима защиты персональных данных, несут ответственность в соответствии с законодательством Российской Федерации.

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

1. Стать 23 Конституции РФ закрепляет, что каждый имеет право на неприкосновенность частной жизни, личную, семейную тайну, защиту своей чести и доброго имени.

Гарантируя действие данного права, ст. 24 Конституции РФ определяет, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

2. Помимо ТК определение объема и содержания обрабатываемых персональных данных регулируется также иными федеральными законами — Воздушным кодексом РФ, Федеральным законом от 27 мая 2003 г. N 58-ФЗ «О системе государственной службы Российской Федерации»*(103), Федеральным законом «О государственной гражданской службе Российской Федерации», Федеральным законом «О персональных данных», Федеральным законом «О муниципальной службе в Российской Федерации», Федеральным законом от 25 декабря 2008 г. N 273-ФЗ «О противодействии коррупции»*(104) и др.

3. Общие требования при обработке персональных данных, закрепленные комментируемой статьей, обеспечивают правомерность действий работодателя и являются гарантией защиты персональных данных работников.

Законодатель определяет общие принципы, лежащие в основе обработки персональных данных работодателем или его представителем, цели обработки персональных данных работников — соблюдение законов, иных нормативных правовых актов, содействие в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества.

Деятельность работодателя по обработке персональных данных основана на принципах, установленных Федеральным законом «О персональных данных».

Согласно ст. 5 этого Федерального закона обработка персональных данных должна осуществляться на основе принципов:

— законности целей и способов обработки персональных данных и добросовестности;

— соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора (применительно к трудовым отношениям под оператором следует понимать работодателя);

— соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

— недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

4. В информационных системах, созданных законодателем, устанавливаются цели введения этих систем.

Статьей 3 Федерального закона «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» предусмотрено, что целями индивидуального (персонифицированного) учета являются:

— создание условий для назначения трудовых пенсий в соответствии с результатами труда каждого застрахованного лица;

— обеспечение достоверности сведений о стаже и заработке (доходе), определяющих размер трудовой пенсии при ее назначении;

— создание информационной базы для реализации и совершенствования пенсионного законодательства РФ, а также для назначения трудовых пенсий на основе страхового стажа застрахованных лиц и их страховых взносов;

— развитие заинтересованности застрахованных лиц в уплате страховых взносов в Пенсионный фонд РФ;

— создание условий для контроля за уплатой страховых взносов застрахованными лицами;

— информационная поддержка прогнозирования расходов на выплату трудовых пенсий, определения тарифа страховых взносов в Пенсионный фонд РФ, расчета макроэкономических показателей, касающихся обязательного пенсионного страхования;

— упрощение порядка и ускорение процедуры назначения трудовых пенсий застрахованным лицам.

5. Обеспечению трудоустройства работников способствует возложение на работодателя обязанности сообщить в службу занятости о предстоящем высвобождении работников в связи с прекращением трудового договора по п. 1, 2 ч. 1 ст. 81 ТК.

Принимая решение о ликвидации организации (о прекращении деятельности индивидуальным предпринимателем), о сокращении численности или штата работников, работодатель-организация не позднее чем за два месяца, а работодатель — индивидуальный предприниматель не позднее чем за две недели до начала проведения соответствующих мероприятий обязаны в письменной форме сообщить об этом в органы службы занятости, указав должность, профессию, специальность и квалификационные требования к ним, условия оплаты труда каждого конкретного работника, а в случае, если решение о сокращении численности или штата может привести к массовому увольнению работников, — не позднее чем за три месяца до начала проведения соответствующих мероприятий (п. 2 ст. 25 Закона РФ «О занятости населения в Российской Федерации» (в ред. Федерального закона от 20 апреля 1996 г. N 36-ФЗ*(105))).

6. Работодатель вправе подвергать обработке персональные данные работников с целью формирования кадрового резерва организации.

Для замещения должностей государственной службы создаются федеральный кадровый резерв, кадровый резерв в федеральном государственном органе, кадровый резерв субъекта Российской Федерации и кадровый резерв в государственном органе субъекта Российской Федерации (ст. 17 Федерального закона «О системе государственной службы Российской Федерации»).

В муниципальных образованиях в соответствии с муниципальными правовыми актами может создаваться кадровый резерв для замещения вакантных должностей муниципальной службы (ст. 33 Федерального закона «О муниципальной службе в Российской Федерации»).

7. Все персональные данные должны быть получены у самого работника.

Работающая женщина представляет медицинскую справку, подтверждающую состояние беременности, в случаях:

— желания продлить срок действия срочного трудового договора до окончания беременности (ст. 261 ТК);

— установления неполного рабочего времени (ст. 93 ТК);

— расторжения трудового договора по инициативе работодателя (ст. 81, 261 ТК, за исключением ликвидации организации либо прекращения деятельности индивидуального предпринимателя) и др.

Работник, являющийся опекуном ребенка в возрасте до 14 лет, предъявляет работодателю акт органа опеки и попечительства об установлении опеки над ним для получения гарантий и льгот, предоставляемых лицам, воспитывающим детей без матери (ст. 264 ТК).

Бабушка, дедушка, другие родственники, пользующиеся на основании ст. 256 ТК правом на получение отпуска по уходу за ребенком, представляют работодателю документ, подтверждающий факт родственных отношений с матерью ребенка (например, свидетельство о рождении матери ребенка, где дед указан отцом матери ребенка).

К сожалению, действующее законодательство не содержит положения, обязывающего работника представить работодателю персональные данные о себе в случаях, когда от их предоставления зависит правомерность действий работодателя. Например, на основании ч. 6 ст. 81 ТК не допускается увольнение работника по инициативе работодателя (за исключением случая ликвидации организации либо прекращения деятельности индивидуальным предпринимателем) в период его временной нетрудоспособности.

Как разъясняется в п. 27 постановления Пленума Верховного Суда РФ от 17 марта 2004 г. N 2, при рассмотрении дел о восстановлении на работе следует иметь в виду, что при реализации гарантий, предоставляемых ТК работникам в случае расторжения с ними трудового договора, должен соблюдаться общеправовой принцип недопустимости злоупотребления правом, в том числе и со стороны работников.

В частности, недопустимо сокрытие работником временной нетрудоспособности на время его увольнения с работы либо того обстоятельства, что он является членом профессионального союза или руководителем (его заместителем) выборного коллегиального органа первичной профсоюзной организации, выборного коллегиального органа профсоюзной организации структурного подразделения организации (не ниже цехового и приравненного к нему), не освобожденным от основной работы, когда решение вопроса об увольнении должно производиться с соблюдением процедуры учета мотивированного мнения выборного органа первичной профсоюзной организации либо соответственно с предварительного согласия вышестоящего выборного профсоюзного органа.

Читайте так же:  Русский адвокат лондон

Если будет установлено, что работник злоупотребил своим правом, суд может отказать в удовлетворении его иска о восстановлении на работе (изменив при этом, по просьбе работника, уволенного в период временной нетрудоспособности, дату увольнения), поскольку в указанном случае работодатель не должен отвечать за неблагоприятные последствия, наступившие вследствие недобросовестных действий со стороны работника.

8. Статьей 5 Закона РФ от 26 июня 1992 г. N 3132-I «О статусе судей в Российской Федерации»*(106) установлено, что лицо, претендующее на должность судьи, вправе обратиться в соответствующую квалификационную коллегию судей с заявлением о рекомендации его на вакантную должность судьи.

Дополнительно к указанному заявлению в квалификационную коллегию судей представляются:

— подлинник документа, удостоверяющего личность претендента как гражданина РФ, или его копия;

— анкета, содержащая биографические сведения о претенденте;

— подлинник документа, подтверждающего юридическое образование претендента, или его заверенная копия;

— подлинники трудовой книжки, иных документов, подтверждающих трудовую деятельность претендента, или их копии;

— документ об отсутствии у претендента заболеваний, препятствующих назначению на должность судьи;

— сведения о результатах сдачи квалификационного экзамена;

— характеристики с мест работы (службы) за последние пять лет трудового (служебного) стажа, а в случае работы в течение указанного срока, полностью или частично, не по юридической специальности — также с мест работы (службы) по юридической специальности за последние пять лет такой работы (службы). Характеристика должна быть выдана претенденту на должность судьи в течение семи дней со дня его обращения;

— сведения о доходах претендента, об имуществе, принадлежащем ему на праве собственности, и обязательствах имущественного характера претендента, а также сведения о доходах супруга (супруги) и несовершеннолетних детей претендента, об имуществе, принадлежащем им на праве собственности, и обязательствах имущественного характера супруга (супруги) и несовершеннолетних детей претендента по форме согласно приложения 1 и 2 к Закону РФ «О статусе судей в Российской Федерации».

Квалификационная коллегия судей организует проверку достоверности указанных документов и сведений. При этом она вправе обратиться с требованием о проверке достоверности представленных документов и сведений в соответствующие органы, которые обязаны сообщить о результатах проверки в установленный коллегией срок, но не позднее чем через два месяца со дня поступления указанного требования.

9. Статья 10 Федерального закона «О персональных данных» называет специальную категорию персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, обработка которых не допускается, за исключением следующих случаев:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные являются общедоступными;

3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну, и в других случаях.

Обработка специальных категорий персональных данных, в названных выше случаях должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

10. При приеме на работу, заключении трудового договора, заполнении анкетных данных работодатель не вправе получать и обобщать информацию о религиозных убеждениях работника.

В некоторых случаях сам работник ставит в известность работодателя о своей религиозной принадлежности. На основании ст. 4 Федерального закона от 26 сентября 1997 г. N 125-ФЗ «О свободе совести и о религиозных объединениях»*(107) по просьбам религиозных организаций соответствующие органы государственной власти в Российской Федерации вправе объявлять религиозные праздники нерабочими (праздничными) днями на соответствующих территориях. В связи с этим законодательством некоторых субъектов РФ установлено, что в субъекте РФ устанавливаются дополнительно нерабочие праздничные дни (помимо тех, которые установлены на федеральном уровне).

Например, Закон Республики Башкортостан от 27 февраля 1992 г. N ВС-10/21 «О праздничных и памятных днях, профессиональных праздниках и иных знаменательных датах в Республике Башкортостан»*(108) установил нерабочие праздничные дни: Ураза-байрам; Курбан-байрам. Законом также закреплено: «представителям других конфессий в дни религиозных праздников по их просьбе администрации предприятий, учреждений и организаций, предоставляют один дополнительный нерабочий день в счет ежегодного отпуска либо на других условиях по договоренности с работником». К сожалению, аналогичного положения ТК не содержит.

Информация о частной жизни работника (сведения о жизнедеятельности в сфере семейных, бытовых, личных отношений) может быть получена и обработана только с его письменного согласия.

Например, является ли работник отцом, воспитывающим детей без матери, является ли женщина одинокой матерью, имеет ли ребенка-инвалида в возрасте до 18 лет, находится ли в состоянии беременности.

При заключении трудового договора, а также в период действия трудовых отношений работодатель не вправе получать и обобщать информацию о членстве в общественных объединениях, профсоюзной организации.

Вместе с тем применение норм трудового законодательства в ряде случаев обязывает работодателя учесть мотивированное мнение выборного органа первичной профсоюзной организации. Этот порядок (процедура) должен быть выполнен при расторжении трудового договора по инициативе работодателя в случаях: когда этот работник — член профсоюза; сокращения численности или штата работников (п. 2 ч. 1 ст. 81 ТК); несоответствия работника занимаемой должности или выполняемой работе вследствие недостаточной квалификации, подтвержденной результатами аттестации (п. 3 ч. 1 ст. 81 ТК); неоднократного неисполнения работником без уважительных причин трудовых обязанностей, если он имеет дисциплинарное взыскание (п. 5 ч. 1 ст. 81 ТК).

Таким образом, работодатель вправе располагать информацией о членстве работника в профессиональном союзе, поскольку его увольнение по вышеназванным основаниям требует выполнения определенного порядка.

Руководитель организации, принимая решения по поводу работника, руководствуется не только информацией о персональных данных, полученной при их автоматизированной обработке или посредством электронного получения, но и учитывает деловые качества работника, его добросовестный и эффективный труд. О том, что понимается под деловыми качествами работника, см. п. 10 постановления Пленума Верховного Суда РФ от 17 марта 2004 г. N 2 и комментарий к ст. 64.

11. Защита информации, как отмечается в ст. 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»*(109), представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

Обладатель информации, которым является работодатель, обязан обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

12. Согласно ст. 19 Федерального закона «О персональных данных» оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

13. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное постановлением Правительства РФ от 17 ноября 2007 г. N 781*(110), устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах (п. 1 Положения).

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к этим данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также путем исключения иных несанкционированных действий. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации. Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе (п. 2 Положения).

Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ в пределах их полномочий. Достаточность мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора (п. 3 Положения).

14. Приказом ФСТЭК России от 5 февраля 2010 г. N 58 утверждено Положение о методах и способах защиты информации в информационных системах персональных данных*(111).

Это Положение устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных государственными, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных или лицом, которому на основании договора оператор поручает обработку персональных данных (п. 1.1 Положения).

К методам и способам защиты информации в информационных системах относятся (п. 1.2 Положения):

— методы и способы защиты информации, обрабатываемой техническими средствами информационной системы, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также от иных несанкционированных действий;

— методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом которого может стать копирование, распространение персональных данных, а также от иных несанкционированных действий.

Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. Для выбора и реализации методов и способов защиты может привлекаться организация, имеющая лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 1.3 Положения).

Методами и способами защиты информации от несанкционированного доступа являются:

— реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;

— ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;

— разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

— регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;

— учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

— резервирование технических средств, дублирование массивов и носителей информации;

— использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

— использование защищенных каналов связи;

— размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;

— организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;

— предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок (п. 2.1 Положения).

Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее — оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства (п. 6 Положения).

Читайте так же:  Налог на имущество переходящее в порядке наследования или дарения 2019

Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств (п. 7 Положения).

Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц (п. 8 Положения).

Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ в пределах их полномочий (п. 9 Положения).

Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее — уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе (п. 10 Положения).

При обработке персональных данных в информационной системе должно быть обеспечено (п. 11 Положения):

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

Обеспечение безопасности персональных данных при их обработке в информационных системах включают следующие мероприятия:

а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) учет лиц, допущенных к работе с персональными данными в информационной системе;

з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

и) разбирательство и подготовку заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или к другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

к) описание системы защиты персональных данных (п. 12 Положения).

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных (п. 13 Положения).

Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом (п. 14 Положения).

Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных выше, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица (п. 15 Положения).

При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин (п. 16 Положения).

К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ в пределах их полномочий (п. 19 Положения).

Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности РФ (п. 21 Положения). Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации утверждено приказом ФСБ России от 9 февраля 2005 г. N 66*(112).

15. Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. N 687. В соответствии с этим Положением к мерам по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации, относятся:

— обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ (п. 13 Положения);

— необходимость обеспечения раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях (п. 14 Положения);

— необходимость соблюдения при хранении материальных носителей условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором (п. 15 Положения).

16. На основании ст. 22 Федерального закона «О персональных данных» оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, относящихся к таким субъектам, которые связаны с оператором трудовыми отношениями.

17. Конвенция Совета Европы N 108 «О защите физических лиц в отношении автоматизированной обработки данных личного характера» (1981 г.)*(113) закрепляет основные принципы защиты данных личного характера, в которых определены требования, предъявляемые:

— к качеству данных (получены и обработаны законным путем, зарегистрированы с определенной и законной целью и не используются вразрез с этой целью и др.);

— к особым категориям данных (данные личного характера, отражающие расовое происхождение, политические убеждения, религиозные верования или другие принципы, а также относящиеся к здоровью или сексуальной жизни, подлежат автоматизированной обработке только в том случае, если законодательство предоставляет надлежащие гарантии; аналогичное правило применяется относительно данных личного характера, связанных с уголовным осуждением);

— к безопасности данных (приняты надлежащие меры безопасности для защиты данных личного характера, зарегистрированных в автоматизированных картотеках, от случайного или неразрешенного разрушения или от случайной утери, а также от неразрешенных доступа к ним, изменения или распространения);

— к дополнительным гарантиям для лица (любое лицо должно иметь возможность: узнать о существовании автоматизированной картотеки данных личного характера, ее цели; получить в подходящее время, через любой срок и без особых затрат подтверждение наличия или отсутствия в автоматизированной картотеке данных личного характера, к нему относящихся, а также получить эти данные в надлежащей форме; требовать в случае необходимости исправления или стирания данных, если они были обработаны с нарушением положений законодательства, и т.д.).

Россия ратифицировала Конвенцию (Федеральный закон от 19 декабря 2005 г. N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»*(114)) со следующими заявлениями:

1) Российская Федерация заявляет, что не будет применять Конвенцию к персональным данным:

а) обрабатываемым физическими лицами исключительно для личных и семейных нужд;

б) отнесенным к государственной тайне в порядке, установленном законодательством РФ о государственной тайне;

2) Российская Федерация заявляет, что будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации;

3) Российская Федерация заявляет, что оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.

18. Экспертами МОТ разработан и официально одобрен Административным советом в 1996 г. Кодекс практики по защите личных данных о работнике*(115).

В ст. 86, 88, 89 ТК закреплен ряд основных положений Кодекса о защите персональных данных работников.

Некоторые положения этого Кодекса, хотя и не получившие непосредственного отражения в ТК, также следует применять, поскольку они обеспечивают реальную гарантию защиты персональных данных работника. Перечислим эти положения:

— сбор личных данных работника не должен вести к его дискриминации;

— личные данные работника не должны использоваться для контроля за его поведением;

— все лица, имеющие доступ к личным данным, обязаны хранить тайну информации;

— полиграфы и иное оборудование для определения правдивости ответов применяться не должны;

— в случае медицинского обследования работника работодатель должен быть информирован только о тех выводах, которые относятся к вопросу о возможности выполнения работником возложенной на него трудовой функции; выводы не должны содержать информацию медицинского характера, за исключением указаний на пригодность или медицинских противопоказаний к предлагаемой работе, и др.

Поскольку персональные данные работника относятся к конфиденциальной информации, на работодателя возлагается обязанность обеспечить их защиту от неправомерного использования или утраты.

Согласно ч. 3 ст. 68 ТК при приеме на работу (до подписания трудового договора) работодатель обязан ознакомить работника под роспись с правилами внутреннего трудового распорядка, иными локальными нормативными актами, непосредственно связанными с трудовой деятельностью работника, коллективным договором. На этом основании следует признать, что до заключения трудового договора ему становятся известными положения, определяющие порядок обработки персональных данных работников, права и обязанности работодателя при обработке персональных данных, права работников, обеспечивающих защиту персональных данных, и др.

19. Работники ставят работодателя в известность об изменении фамилии, имени, отчества, даты рождения, что получает отражение в трудовой книжке на основании паспорта, свидетельств о рождении, о браке, о расторжении брака и других документов. При необходимости изменяются данные об образовании, профессии, специальности. Если работнику в период работы присваивается новый разряд (класс, категория и т.п.), то об этом производится соответствующая запись в трудовой книжке.

Лицо, утратившее трудовую книжку, обязано немедленно заявить об этом работодателю по последнему месту работы. Работодатель выдает работнику дубликат трудовой книжки не позднее 15 дней со дня подачи работником заявления (п. 31 Правил ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей).

В области охраны труда работник обязан немедленно извещать своего непосредственного или вышестоящего руководителя об ухудшении состояния своего здоровья, в том числе о проявлении признаков острого профессионального заболевания (отравления) (см. ст. 214 ТК).

Работник при утрате страхового свидетельства государственного пенсионного страхования в течение месяца со дня утраты обязан обратиться к работодателю для его восстановления (ст. 7 Федерального закона «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»).

20. В целях защиты частной жизни, личной и семейной тайны работники не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального ущерба.

О материальной ответственности работодателя перед работником см. гл. 38 ТК.

21. В локальных нормативных актах организации — коллективном договоре, правилах внутреннего трудового распорядка и др. закрепляются дополнительные меры защиты персональных данных работников, вырабатываемые совместно работодателями, работниками и их представителями. К ним можно отнести меры защиты, применяемые работодателем и выборным органом первичной профсоюзной организации, когда работодатель решает вопрос с учетом мотивированного мнения этого органа; меры защиты, используемые комиссией по трудовым спорам при рассмотрении индивидуального трудового спора работника; запрет хранения определенной информации о работниках на компьютерах, к которым имеется свободный доступ.