İşçinin şəxsi məlumatları: məlumatın təhlükəsizliyini necə təmin etmək olar. Şəxsi məlumatların emalı

Veb saytında şəxsi məlumatların saxlanması və emalı ilə bağlı sənədlərin bütün siyahısını, onların doldurulması üçün nümunələr və tövsiyələrlə dərc edirik.

Təhlükəsizlik tədbirlərinin siyahısı təsir edicidir və Roskomnadzor yoxlamasından uğurla keçmək üçün bir çox sənəd hazırlamaq lazımdır. Bütün bunları başa düşmək üçün texniki təlim tələb olunur. Yeni başlayanlar üçün bu o qədər də asan deyil, amma özünüzü qorumaq daha yaxşıdır.

Bəzi şirkətlər və saytlar onların hazırlanmasında xidmət göstərir: Kontur, B-152, FreshDoc. Bu sənədlər üçün şablonları yükləyə bilərsiniz.

İstənilən halda, şəxsi məlumatların daxili mühafizə sistemlərini yoxlamalı və aşağıdakı sənədləri hazırlamalısınız:

1. Məxfi məlumatların siyahısı

Bu, emal etdiyiniz şəxsi məlumatların bütün kateqoriyaları və növləri haqqında məlumatları ehtiva edən sənəddir. Siyahının “Fərdi məlumatlar haqqında” Qanuna və təşkilatın Nizamnaməsinə (hüquqi şəxsi təmsil edirsinizsə) uyğun olaraq hazırlandığını göstərin, fərdi məlumatların BÜTÜN növ kateqoriyalarını aydın şəkildə göstərin. Bu cədvəl şəklində edilə bilər. Eyni sənəddə şəxsi məlumatların işlənməsinin məqsədlərini və şərtlərini göstərməyi məsləhət görürük. Misal.

2. İnformasiya təhlükəsizliyi administratorunun təlimatları

Fərdi məlumatların məlumat sisteminin inzibatçısı rəhbərin əmri ilə təyin edilir. Təlimatlar, məsələn, "məlumatların qorunması prosedurunu tənzimləyən bütün normativ sənədlərin tələblərini bilmək və onlara riayət etmək", "fərdi məlumatların məlumat sisteminin quraşdırılmasını, konfiqurasiyasını və yenilənməsini təmin etmək", "təmin etmək" kimi vəzifə öhdəliklərini sadalayır. sistemin təhlükəsizlik tədbirlərinin işləməsi”, “informasiya təhlükəsizliyi tələblərinə uyğunluğunu təmin etmək” və s. Nümunələr: birinci, ikinci.

3. Fərdi məlumatların emalının təşkili üçün məsul şəxslərin təyin edilməsi haqqında əmr və fərdi məlumatların qorunması üçün tədbirlərin siyahısı (təşkilatlar üçün).

4. İnformasiya sistemlərində qorunmalı olan fərdi məlumatların siyahısı. Misal.
"Fərdi məlumatlar haqqında" 27 iyul 2006-cı il tarixli 152-ФЗ Federal Qanunu ilə müəyyən edilmiş qaydada operatorun fərdi məlumatların emalı ilə bağlı siyasətini müəyyən edən sənədin tərtib edilməsi üçün Roskomnadzorun tövsiyələri.

5. Şəxsi məlumatların saxlanma yerlərinin təsdiq edilməsi haqqında əmr.

Əgər şəxsi məlumatları maddi mediada saxlayırsınızsa, saxlama yerlərini təsdiq etməlisiniz. Misal.

6. Şəxsi məlumatların işləndiyi binaların siyahısı.

7. Fərdi məlumatların informasiya sisteminin istifadəçiləri üçün təlimatlar.

Bu sənəd fərdi məlumatlarla işləyən (onları emal edən və s.) hər kəsin vəzifə öhdəliklərini müəyyən edir. Misal.

8. Fərdi məlumatların məhv edilməsi üçün komissiyanın təyin edilməsi haqqında əmr.

Şəxsi məlumatların məhv edilməsinə xüsusi əhəmiyyət verilir. Emal məqsədləri yerinə yetirildikdən sonra şəxsi məlumatlar məhv edilməlidir. Şəxsi məlumatların məhv edilməsi haqqında daha çox oxuyun. Sifariş nümunəsi.

9. Fərdi məlumatların informasiya sisteminin mühafizəsi sisteminin layihəsi. Misal.

10. Aparat və proqram təminatının, verilənlər bazası və informasiya təhlükəsizliyi vasitələrinin ehtiyat nüsxəsinin çıxarılması və funksionallığının bərpası proseduru. Misal.

11. Fərdi məlumatların mühafizəsi rejiminin daxili audit planı.

Plan cədvəl şəklində hazırlana bilər, orada rejim və avadanlıqların nə qədər tez-tez yoxlanılacağını göstərin. Misal.

12. Fərdi məlumatların informasiya sisteminin istismara verilməsi haqqında sərəncam, fərdi məlumatların informasiya sisteminin istismara verilməsi haqqında rəy. Misal.

13. Fərdi məlumatların informasiya sisteminin daşıyıcılarının qeydiyyatı üçün jurnal.

14. Fərdi məlumatların mühafizəsinə nəzarət üzrə fəaliyyətlərin jurnalı.

Jurnal cədvəl şəklində hazırlana bilər və orada həyata keçirilən fəaliyyətlər qeyd oluna bilər. Misal.

15. Fərdi məlumatların mühafizəsi vəziyyətinin daxili auditinin aparılması planı.

Nümunə sənədi burada tapa bilərsiniz.

16. Fərdi məlumatların subyekti olan vətəndaşların qanuni hüquqlarının həyata keçirilməsi ilə bağlı müraciətləri jurnalı.

Şəxsi məlumatları haqqında məlumat istəyən hər kəsi buraya yazın. Misal.

17. Avtomatlaşdırma vasitələrindən istifadə etmədən şəxsi məlumatların emalı qaydaları. Tənzimləmə haqqında.

18. İşlənmiş şəxsi məlumatlara giriş hüquqlarının delimitasiyası haqqında Əsasnamə. Misal.

19. Fərdi məlumatların informasiya sisteminin təsnifatı aktı.

İnformasiya sistemi "məlumat bazaları və informasiya texnologiyaları və onların işlənməsini təmin edən texniki vasitələrdə olan məlumatların məcmusudur" (Rusiya Federasiyasının "İnformasiya, informasiyalaşdırma və informasiyanın mühafizəsi haqqında" Qanunu). İnformasiya sisteminə misal olaraq təşkilatınızda istifadə olunan şəxsi məlumatları ehtiva edən verilənlər bazası ola bilər. Siz sadəcə olaraq bir veb-saytın sahibi olsanız belə, veb-saytda toplanan şəxsi məlumatlar verilənlər bazasına daxil edildikdə və sonra emal edildikdə informasiya sistemindən danışa bilərik.

20. Fərdi məlumatların informasiya sistemində antivirus nəzarətinin aparılmasına dair təlimat. Misal.

21. Parol mühafizəsinin təşkili üçün təlimatlar.

22. İnformasiya təhlükəsizliyi vasitələrinin dövri sınaqdan keçirilməsi jurnalı.

23. Şəxsi məlumatları ehtiva edən sənədlərin məhv edilməsi aktının forması.

Əgər siz vebsayt sahibisinizsə, şəxsi məlumatların məhv edilməsini qeyd edəcəyiniz siyahı yaratmağınızdan əmin olun (nə və nə vaxt edilib). Nümunə və daha çox.

24. İnformasiya təhlükəsizliyi vasitələrinin jurnalı (texniki vasitələrin siyahısı). Misal.

25. İnformasiya təhlükəsizliyi üzrə brifinq jurnalı (təşkilatlar üçün).

26. Fövqəladə hallar zamanı təhlükəsizliyin təmin edilməsi üçün istifadəçi təlimatları.

27. Fərdi məlumatları emal etmək səlahiyyəti olan şəxslərin siyahısı haqqında əmr.

28. Fərdi məlumatların mühafizəsi haqqında Əsasnamə.

Bu sənədin məqsədi şəxsi məlumatları icazəsiz girişdən qorumaqdır. Əsasnamədə aşağıdakılar nəzərdə tutula bilər: qanunvericilikdən anlayışlar, emal məqsədləri və əsasları, operatorun və fərdi məlumatların subyektlərinin hüquq və vəzifələri.

Şəxsi məlumatlara daxili girişin necə tənzimləndiyini, kimin giriş hüququna malik olduğunu, girişin necə məhdudlaşdırıldığını, hansı daxili və xarici mühafizə tədbirlərindən istifadə edildiyini (parollar, fərdi məlumatlarla işləmək imkanı olan işçilərin tərkibinin tənzimlənməsi, kənar şəxslərdən şəxsi məlumatların saxlanmasının təhlükəsizliyi) , açıqlamaya görə məsuliyyəti göstərməyi unutmayın (işçilər üçün).

29. Şəxsi məlumatların açıqlanmaması haqqında müqavilə.

Bu müqavilə şəxsi məlumatlara çıxışı olan hər kəs tərəfindən imzalanır. Açıqlanmaya məruz qalmayan bütün məlumatları sadalayın, bunun nə üçün və nə üçün edildiyini izah edin (“Mən başa düşürəm ki, şəxsi məlumatları toplamalı, saxlamalı, emal etməliyəm, “Müdafiə haqqında Bəyanat”da təsvir olunan bütün tələblərə əməl etməyi öhdəmə götürürəm. Şəxsi məlumatların””). Misal.

30. Fərdi məlumatların təhlükəsizliyinin təmin edilməsi üzrə tədbirlər planı.

Bu sənəddə fəaliyyətləri, son tarixləri və podratçını göstərin: antivirus proqramının quraşdırılması, parolların təyin edilməsi, təkmilləşdirmələrin və yeniləmələrin tətbiqi və s. Misal.

31. Fərdi məlumatların informasiya sistemində təhlükəsizlik təhdidlərinin modeli.

Təhlükəsizlik təhdidləri şəxsi məlumatların məhv edilməsi, dəyişdirilməsi, bloklanması, surətinin çıxarılması, yayılması, habelə onların həyata keçirilməsi zamanı digər icazəsiz hərəkətlərlə nəticələnə bilən icazəsiz, o cümlədən təsadüfi, şəxsi məlumatların əldə edilməsi təhlükəsini yaradan şərtlər və amillər məcmusudur. fərdi məlumat sistemində məlumatların işlənməsi.

“Fərdi məlumatlar haqqında” Qanunun 19-cu maddəsinə uyğun olaraq, fərdi məlumatlar icazəsiz və ya təsadüfi əldə olunmaqdan, məhv edilməkdən, dəyişdirilməkdən, bloklanmasından, surətinin çıxarılmasından, yayılmasından, habelə digər hüquqazidd hərəkətlərdən qorunmalıdır. .

Bu sənədin məqsədi fərdi məlumat sisteminin təhlükəsizliyinə mümkün təhdidləri müəyyən etmək və onlar yaranarsa hansı qorunma üsullarından istifadə ediləcəyini təsvir etməkdir. Misal.

32. Şəxsi məlumat subyektinin sorğusuna cavab forması. Misal.

Bu sənədləri doldurmağı və yeniləməyi unutmayın!

Əgər materialı oxuduqdan sonra hələ də suallarınız varsa (fərdi məlumatların nə olduğunu tam başa düşmürsünüzsə, Roskomnadzor reyestrində qeydiyyatdan keçməyinizə şübhə edirsinizsə, məlumatların emalı müqaviləsini necə tərtib edəcəyinizi bilmirsiniz və s.), və s.), ünvanına yazın [email protected].

Hər hansı bir müəssisənin və ya şirkətin kadrlar şöbəsinin işi işçilərin peşəkar, işgüzar və şəxsi keyfiyyətlərini əks etdirən və məxfi olan əhəmiyyətli həcmdə şəxsi məlumatların (məlumatların) emalı ilə bağlıdır. Məxfilik həmin məlumatların vətəndaşların şəxsi və ya ailə sirrini təşkil etməsi və qanunla müəyyən edilmiş qaydada qorunmalı olması ilə müəyyən edilir. İnsan resursları şöbəsinin fəaliyyəti şəxsi məlumatların təhlükəsizliyinin təmin edilməsi, onu təcavüzkarın bu məlumatı ələ keçirmək və qanunsuz məqsədlər üçün istifadə etmək üçün yarada biləcəyi bir çox təhlükələrdən qorumaq problemlərinin həllinə tabe olmalıdır. Kadrlar xidmətinin, idarəetmə və ya kadrlar şöbəsinin, kadr menecerinin, bəzən kiçik təşkilatlarda - katib köməkçisinin (bundan sonra kadrlar şöbəsi) işi əhəmiyyətli miqdarda vəsaitin yığılması, formalaşması, emalı, saxlanması və istifadəsi ilə əlaqələndirilir. işçilərin bütün kateqoriyaları haqqında məlumat. Bu məlumatlar mahiyyət etibarilə vətəndaşların şəxsi və ya ailə sirlərini, şəxsi həyatını əks etdirən və icazəsiz girişdən qorunmalı olan məlumatlar sırasına daxil olan fərdi məlumatlar adlanan məlumatlara aiddir.

Vətəndaşın şəxsi sirri Rusiya Federasiyasının Konstitusiyası ilə qorunur. Bu sirrin açılması, yəni. fərdi məlumatların zaman və məkanda nəzarətsiz yayılması şəxsə ciddi ziyan vura bilər. Şəxsi sirr anlayışı ailə sirri ilə sıx bağlıdır. Ailə sirri və ya bir neçə şəxsin, ailə üzvlərinin sirri qorunan məlumatların tərkibinə görə şəxsi sirrlə eyni deyildir. Məsələn, ailə sirlərinə: övladlığa götürmə sirri, atalıq sirri, irsi xəstəliyin sirri və s.

Şəxsi məlumatlar (vətəndaşlar haqqında məlumat) konkret şəxsə aid hər hansı sənədləşdirilmiş məlumat deməkdir. Şəxsi məlumatlar hər bir fərdi şəxsi müəyyənləşdirir. Fərdi məlumatların subyektləri Rusiya Federasiyasının vətəndaşları, Rusiya ərazisində yerləşən xarici vətəndaşlar və vətəndaşlığı olmayan şəxslərdir, müvafiq şəxsi məlumatların şəxsiyyətinə aiddir. Fərdi məlumatların sahibləri bu məlumatlara sahib olan və onlardan istifadə edən dövlət və yerli özünüidarəetmə orqanları, müəssisə, idarə, təşkilat, hüquqi və fiziki şəxslərdir. Fərdi məlumatların istifadəçiləri dövlət və yerli özünüidarəetmə orqanları, müəssisələr, idarələr, təşkilatlar, hüquqi və fiziki şəxslər onlara lazım olan fərdi məlumatları almaq və ötürülmə hüququ olmadan istifadə etmək üçün məlumat sahibi ilə əlaqə saxlaya bilərlər.

Şəxsi məlumatlar həmişə məxfi məlumat kimi təsnif edilir. Şəxsi həyatına dair məlumatların, o cümlədən şəxsi, ailə sirrini, yazışmalarının, telefon danışıqlarının, poçt, teleqraf və digər mesajların sirrini pozan məlumatların toplanması, ötürülməsi, məhv edilməsi, saxlanılması, istifadəsi və yayılmasına icazə verilmir. məhkəmənin qərarı istisna olmaqla, onun razılığı. Fərdi məlumatların məxfilik rejimi, qanunla başqa hal nəzərdə tutulmayıbsa, bu məlumatların şəxsiyyətsizləşdirilməsi hallarında və ya onların saxlanma müddəti 75 il keçdikdən sonra ləğv edilir.

Fərdi məlumatlar ilə iş yalnız şəxsi məlumatların müvafiq sahibinin və ya istifadəçisinin tapşırıqlarını yerinə yetirmək üçün zəruri olan və mövcud qanunvericilik, lisenziya və ya müqavilə ilə müəyyən edilmiş siyahılara uyğun məqsədlər üçün və müddətlərdə aparılmalıdır. Şəxsi məlumatlar vətəndaşlara əmlak və (və ya) mənəvi zərər vurmaq və ya Rusiya Federasiyası vətəndaşlarının hüquq və azadlıqlarının həyata keçirilməsinə mane olmaq məqsədi ilə istifadə edilə bilməz. Vətəndaşların sosial mənşəyi, irqi, milli mənsubiyyəti, dili, dini və partiya mənsubiyyəti haqqında məlumatlardan istifadə əsasında onların hüquqlarının məhdudlaşdırılması qadağandır və qanunla müəyyən edilmiş qaydada cəzalandırılır.

Fərdi məlumatların subyekti qanunla nəzərdə tutulmuş hallar istisna olmaqla, özü haqqında məlumatın kiməsə ötürülməsi məsələsini müstəqil həll edir. Öz növbəsində, subyekt öz şəxsiyyətinə aid şəxsi məlumatlara daxil olmaq və bu məlumatların və məlumatların özləri haqqında məlumat əldə etmək hüququna malikdir. Müvafiq sənədlərlə təsdiq edilmiş əsaslar olduqda, fərdi məlumatların subyekti bu məlumatların sahibindən ona dəyişikliklər və əlavələr edilməsini tələb etmək hüququna malikdir. Digər tərəfdən, subyekt müəyyən şəxsi məlumatlarda baş verən dəyişikliklər barədə sahibinə məlumat verməyə borcludur.

Şəxsi məlumatların məxfiliyi və təhlükəsizliyi və onların mühafizəsi qeyri-dövlət sirri - rəsmi və ya peşə sirri kimi təsnif edilməklə təmin edilir. Peşə sirrinə tibb, vəkil, bank, notariat sirri, vətəndaşlıq vəziyyəti aktlarının qeydiyyatı orqanlarının, rabitə müəssisələrinin sirri, etiraf sirri və bu sirrin digər alt növləri daxildir.

Şəxsi məlumatlar, məsələn, vergi müfəttişlikləri, hüquq-mühafizə orqanları, sığorta agentlikləri, səyahət və mehmanxana şirkətləri, bələdiyyə idarələrinin bəzi şöbələri və s. tərəfindən toplanır və istifadə olunur. Lakin fərdi məlumatların ən cəmlənmiş və geniş əks olunması tərkibinə görə müxtəlif və həcmcə əhəmiyyətli olan, kadrların idarə edilməsi funksiyalarını məlumatla təmin edən və hüquqi münasibətlərin həyata keçirilməsini müşayiət edən müvafiq məlumat və sənədləşmə sistemini təşkil edən kadr sənədlərində (kadr sənədlərində) olur. vətəndaşlarla dövlət və qeyri-dövlət qurumları, təşkilatlar, müəssisələr və firmalar (bundan sonra müəssisə) arasında. Bu sistem təkcə kadr funksiyalarının həyata keçirilməsində cari, operativ məqsəd daşımır, həm də müasir Rusiyada baş verən mürəkkəb sosial proseslərin öyrənilməsi və ümumiləşdirilməsi üçün qiymətli sosioloji, bioqrafik və arxeoqrafik mənbədir.

Məxfi məlumatların tərkibini müəyyən etmək və kadrlar şöbəsində şəxsi məlumatların mühafizəsinin əsas sahələrini müəyyən etmək üçün iki böyük sənəd qrupunu vurğulayacağıq:

  • a) şöbənin işinin təşkilinə dair sənədlər;
  • b) şöbənin əsas fəaliyyəti zamanı yaradılan və vahid və ya birləşdirilmiş formada fərdi məlumatları ehtiva edən sənədlər.

Sənədlərin birinci qrupu kadrlar şöbəsinin təşkilati-hüquqi sənədlərini ehtiva edir və bunlara daxildir: şöbə haqqında əsasnamə, şöbə işçilərinin vəzifə təlimatları, şöbənin strukturunu və sahələrin bölüşdürülməsini tənzimləyən müəssisə rəhbərliyinin əmrləri, göstərişləri, göstərişləri. işçiləri arasında məsuliyyət, şöbənin əsas funksiyalarının yerinə yetirilməsi, sənədləşmənin aparılması və fərdi məlumatların komplekslərə (sənədlər, məlumat bazaları və s.) formalaşdırılması üçün iş təlimatları. Buraya bölmənin əsas fəaliyyət istiqamətləri ilə bağlı planlaşdırma, uçot, təhlil və hesabata dair sənədləri olan fayllar da daxildir. Şöbənin statusunun formalaşmasında və müxtəlif müəssisələrdə onun fəaliyyətini müşayiət edən əsas proseslərin təşkilində əhəmiyyətli unikallığı nəzərə alaraq, bu sənəd qrupunun məxfi xarakteri, təcavüzkarın aşağıdakı faydalı məlumatları çıxara bilməsi ilə müəyyən edilir. müəyyən bir müəssisədə bu sənədlərin təhlilindən özü:

  • - kadrlar şöbəsi ilə plan-maliyyə şöbəsi, mühasibat uçotu, hüquq şöbəsi, hərbi qeydiyyat masası və digər şöbələr arasında funksiyaların bölüşdürülməsi, yəni. tələb olunan məlumatı harada axtarmaq barədə məlumat;
  • - kadrlar şöbəsi daxilində funksiyaların şöbənin struktur bölmələri (qruplar, sektorlar) arasında və işçilər arasında bölüşdürülməsi, yəni. tələb olunan məlumatı kimdən axtarmaq lazım olduğu barədə məlumat;
  • - sənədlərin, vəsiqələrin, sertifikatların hazırlanması üçün iş prosesinin tənzimlənməsi, yəni. sənədləri və verilənlər bazalarını saxtalaşdırmaq üçün icazəsiz rejimdə bundan necə istifadə edə biləcəyiniz haqqında məlumat;
  • - sənədlərin, faylların, məlumat bazalarının saxlanma yerinin tənzimlənməsi, yəni. sənədi harada və necə oğurlaya və ya dəyişdirə biləcəyinə dair məlumat və tələb olunan məlumatları əldə etmək;
  • - hesabat və arayış işinin tənzimlənməsi, yəni. təşkilati və ya texniki kanallar vasitəsilə tələb olunan məlumatın nə vaxt və necə tutula biləcəyi haqqında məlumat.

Təcavüzkar dedikdə, müəssisənin sirrini təşkil edən məlumatları əldə etmək məqsədilə qanunsuz hərəkətlər etmək niyyətində olan və qəsdən törədilmiş şəxs və ya şəxslər qrupu başa düşülür. Hücum edənlərə: vicdansız rəqiblər və tərəfdaşlar, onların maraqlarına uyğun hərəkət edən şəxslər, sənaye və ya iqtisadi casusluqla məşğul olan peşəkar agentlər, məlumat verənlər, cinayət strukturlarının nümayəndələri, ayrı-ayrı cinayətkarlar, ruhi xəstələr, təcavüzkarla əməkdaşlıq edən müəssisənin işçisi və s. müəssisəyə və ya onun işçi heyətinə zərər vurmağa cəhd edən şəxslər.

Hər hansı kənar şəxslər kadrlar şöbəsində funksiyaların, iş proseslərinin, sənədlərin, faylların və iş materiallarının tərtibi, işlənməsi, saxlanması və saxlanması texnologiyasının bölüşdürülməsini bilməməlidir. Kənar şəxs dedikdə təkcə hücum edənləri və ya onların əlbirlərini deyil, həm də funksional vəzifələri şöbənin işi ilə bağlı olmayan şirkət işçilərini nəzərdə tuturuq. Onu da nəzərə almaq lazımdır ki, kadrlar şöbəsinin əməkdaşı bu şöbənin digər işçilərinin iş prosedurlarından xəbərsiz olmalıdır.

İkinci qrupa kadrlar şöbəsinin əsas fəaliyyəti prosesində yaradılan və şəxsi məlumatları ehtiva edən sənədlər daxildir:

  • - vətəndaşın əmək münasibətlərinin rəsmiləşdirilməsi prosesini müşayiət edən sənədlər toplusu (işə qəbul, köçürmə, işdən azad edilmə və s. məsələlərin həlli zamanı);
  • - vəzifələrə namizədlərin sorğu-sual edilməsi, sınaqdan keçirilməsi və müsahibənin aparılmasına dair materiallar toplusu;
  • - şəxsi heyət üçün əmrlərin əsli və surətləri;
  • - işçilərin şəxsi işləri və əmək kitabçaları;
  • - şəxsi heyətlə bağlı əmrlərin verilməsi üçün əsas olan hallar;
  • - işçilərin attestasiyası, daxili araşdırmalar və s. materialları olan işlər;
  • - kadrlar üçün arayış-məlumat bankı - uçot və arayış aparatı (kartotkalar, jurnallar, məlumat bazaları və s.);
  • - müəssisənin rəhbərliyinə, struktur bölmələrinin və xidmətlərin rəhbərlərinə təqdim edilmiş hesabat, analitik və arayış materiallarının əsli və surətləri;
  • - dövlət statistika orqanlarına, vergi müfəttişliklərinə, yuxarı orqanlara və digər qurumlara göndərilən hesabatların surətləri.

Kadrlar şöbəsinin sənədləri, faylları və məlumat bazaları ilə işləyərkən fərdi məlumatların qorunmasının aşağıdakı əsas prinsiplərinə əməl edilməlidir:

  • - şöbənin işi və şəxsi məlumatların, habelə bu məlumatların daşıyıcılarının təhlükəsizliyinə və məxfiliyinə görə işçilərin şəxsi məsuliyyəti;
  • - şöbənin müxtəlif işçiləri arasında şəxsi məlumatların biliyinin bölünməsi (parçalanması);
  • - şöbə əməkdaşlarının sənədlərə, fayllara və verilənlər bazalarına daxil olması üçün aydın icazə sisteminin olması;
  • - şöbə işçiləri arasında ənənəvi və elektron sənədlərin, faylların və məlumat bazalarının və müəssisənin bölmələrində kadr sənədlərinin mövcudluğunun müntəzəm olaraq yoxlanılması.

Gördüyümüz kimi, fərdi məlumatların qorunmasında əsas məqam kadrlar şöbəsinin əməkdaşlarının funksiyalarının aydın tənzimlənməsi və buna uyğun olaraq işçilər tərəfindən sənədlərin, işlərin, fayl şkaflarının, şəxsi jurnalların və məlumat bazalarının mülkiyyət hüququnun tənzimlənməsidir. .

Bu müddəanı həyata keçirmək üçün müəssisənin rəhbəri şöbənin işçilərinə bu işçilərin vəzifə təlimatlarında göstərilən funksiyaları yerinə yetirmək üçün informasiya təminatını təmin etmək üçün zəruri olan müəyyən sənədlər toplusunu təyin etmək üçün əmr və ya göstəriş verməlidir; kadrlar şöbəsinin işçilərinin və müəssisənin və struktur bölmələrinin rəhbər heyətinin sənədlərlə tanış olması şöbə tərəfindən təsdiqlənməlidir, sadalanan vəzifəli şəxslər və işçilər üçün şəxsi məlumatların təhlükəsizliyinə və məxfiliyinə görə şəxsi məsuliyyət tətbiq edilmişdir.

Kadrlar şöbəsinin əməkdaşı tərəfindən yerinə yetirilən hər bir funksiya üçün bu işçinin işləmək hüququ olan sənədlərin, faylların və məlumat bazalarının tərkibi tənzimlənməlidir. İşçinin şöbənin hər hansı sənəd və materialları ilə tanış olmasına icazə verilmir. Şəxsi məlumatlara girişi məhdudlaşdırmaq və işçilər arasında bilikləri bölüşdürmək üçün müxtəlif işçilərə təyin etmək məsləhətdir:

  • a) əmək münasibətlərinin sənədləşdirilmiş qeydiyyatı (işə qəbul, köçürmə, işdən çıxarılma və s.),
  • b) şəxsi işlərin və iş qeydlərinin aparılması;
  • c) kadrlar və müqavilələr üçün sifarişlərin tərtib edilməsi və saxlanılması;
  • d) arayış və məlumat bankının aparılması.

Fəaliyyət sahələrinin bölgüsü işin həcmindən və şöbədəki işçilərin sayından asılı olaraq fərqli ola bilər, lakin öhdəliklərin və sənədləşdirmə massivlərinin ayrılması mütləq həyata keçirilməlidir. Bu, şöbəyə öz işini yuxarıda göstərilən fundamental prinsiplərə uyğun qurmağa və şəxsi məlumatların təhlükəsizliyini və məxfiliyini təmin etməyə imkan verəcək. Şöbə işçiləri arasında vəzifələrin yenidən bölüşdürülməsi zərurəti yarandıqda (məsələn, onlardan biri xəstələndikdə, işdən çıxarıldıqda) kadrlar şöbəsinin müdiri tərəfindən dəyişikliklərin xarakterini, onların müddətini tənzimləyən müvafiq əmr verilməlidir. sənədlərə, fayllara və verilənlər bazalarına giriş sisteminə əlavələr. Bu əmrdə işçilərin şəxsi məlumatlar haqqında bilikləri və sənədlərin təhlükəsizliyinə və məxfiliyinə görə şəxsi məsuliyyətin həcminə dair məlumatlılıq dərəcəsinin dəyişməsini qeyd etməsi vacibdir.

2010-cu il yanvarın 1-dən etibarən “Fərdi məlumatlar haqqında” Qanunun müddəaları fərdi məlumat operatorları üçün kifayət qədər sərt, çox əmək tutumlu və bahalı tələbləri nəzərdə tutan tam qüvvəyə minir. Operatorlar üçün çox çətin olacaq: onlar hazırladıqları FSB və FSTEC-in çoxsaylı tələblərinə tam əməl etməli olacaqlar. Bu qanunun tətbiqi təcrübəsi artıq sənəd idarəetmə xidmətlərinə potensial təsir göstərən bir sıra problemləri aşkar etmişdir.

Təşkilatda fərdi məlumatlar ilə işləmə qaydasını tənzimləyən çoxlu sayda daxili normativ sənədlərin yaradılması ilə bağlı qanuni tələblərin həyata keçirilməsi ilə bağlı yeni, çox həcmli sənədləşmə təbəqəsi yaranır. Bundan əlavə, tənzimləyici orqanlar artıq bu işin daimi xarakterini təsdiq edən sənədlərin müntəzəm olaraq yaradılmasını tələb edirlər. Əslində, biz təşkilatda bundan sonra PD adlandırılacaq, prinsiplərinə görə keyfiyyət idarəetmə sisteminə bənzər fərdi məlumatların idarə edilməsi sisteminin yaradılmasından danışırıq.

Mövcud məhkəmə təcrübəsi də göstərmişdir ki, bir sıra hallarda təşkilat “Fərdi məlumatlar haqqında” Qanunun müddəalarının hüquqi incəliklərinə səhlənkar münasibət bəslədikdə, fərdi məlumatlar haqqında qanunvericiliyin bəzi tələbləri ümumi qaydalara zidd olmağa başlayır. ofis işinin və arxiv işinin qəbul edilmiş təcrübəsi. Məsələn, PD emalı prosesi başa çatmış hesab edildikdə, müəyyən edilmiş saxlama müddətlərinə baxmayaraq, bu məlumatlar 3 gün ərzində məhv edilməlidir (PD operatorlarının reyestrində olan məlumatların təhlili göstərir ki, bir çox təşkilat bu məlumatlarla əməliyyat işinin dayandırıldığını göstərir. biznes bölmələrində, əksər hallarda PD-ni ehtiva edən sənədlərin digər qanuni və tənzimləyici tələblərə riayət etmək üçün kifayət qədər uzun müddət saxlanmalı olduğunu unudaraq).

Vəziyyət o qədər pisləşib ki, hökumət və Dumanın bu il “Fərdi məlumatlar haqqında” qanuna əlavələr, tələblərin yumşaldılması və/və ya bitmə tarixinin dəyişdirilməsi şəklində yanğına qarşı tədbirlər görəcəyini istisna etmək olmaz. keçid dövrü. 12 noyabr 2009-cu ildə Dumanın Maliyyə Bazarı Komitəsinin rəhbəri Vladislav Reznik tərəfindən təqdim edilən "Fərdi məlumatlar haqqında" Federal Qanuna dəyişikliklər edilməsi haqqında" qanun layihəsi Dövlət Dumasına təqdim edildi. Dövlət Dumasına fərdi məlumatların emalı prosedurunu aydınlaşdıran qanun layihəsi təqdim edilmişdir // "RosBusinessConsulting" İnformasiya Agentliyi, 12 noyabr 2009-cu il.

Qanun layihəsində müəyyən edilməsi təklif edilir ki, “şəxsi məlumatların emalı operator tərəfindən aşağıdakı hallarda həyata keçirilə bilər:

  • - şəxsi məlumatların emalı ilə bağlı müqavilə münasibətlərinin yaradılması və ya həyata keçirilməsi;
  • - fərdi məlumatların məcburi emalı hallarını müəyyən edən qanunların tələblərinə riayət edilməsi;
  • - şəxsi məlumatların subyektinin hüquqları pozulmamaq şərti ilə öz ehtiyaclarını ödəmək.” "Fərdi məlumatlar haqqında" Federal Qanuna dəyişikliklər edilməsi haqqında federal qanun layihəsinə izahat qeydi, qanun layihəsi No 282499-5.

Qlobal iqtisadiyyatdakı böhran fonunda və rusların qanunvericilik məsələlərinə marağının aşağı olması səbəbindən bu qanunun qəbulu faktiki olaraq diqqətdən kənarda qaldı. Beynəlxalq təcrübə göstərir ki, məhz bu qanun, xüsusən də fərdi məlumatların mühafizəsi haqqında qanunvericiliklə birlikdə dövlət bələdiyyə orqanları üçün böyük problemlər yarada bilər.

Bu qanun “yuxarıdan” çıxdığından indiyədək maraqlı tərəflərdən heç biri ona o qədər də əhəmiyyət verməyib. Bu vəziyyət çox güman ki, uzun sürməyəcək. Və dünya təcrübəsinin göstərdiyi kimi, dövlət qurumları bir sıra çətin problemlərlə üzləşəcəklər. İşgüzarlıq baxımından dövlət orqanlarında daha bir güclü sənəd dövriyyəsi yaranacaq, qanunvericilik tələblərinin qaçılmaz pozulması nəticəsində çoxsaylı məhkəmə prosesləri və proseslər baş verəcək. Daim kadr çatışmazlığı, az ödənişli və həddən artıq yüklənmiş məktəbəqədər təhsil xidmətləri ilə dövlət qurumları çox çətin anlar yaşayacaqlar. Qanun, əlavə olaraq, sənədlərlə işləmə texnologiyasını dəyişir: məsələn, ilk dəfə olaraq, giriş məhdudiyyəti olan sənədlərin senzurasının əmək tutumlu təcrübəsi tətbiq edilir.

Federal hakimiyyət orqanlarından fərqli olaraq, regional hakimiyyət orqanları 2009-cu ilin payızında bu qanunvericiliyə daha çox diqqət yetirdilər. Bir sıra regionlar regional hakimiyyət orqanları tərəfindən məlumat əldə etmək prosedurunu tənzimləyən öz qanunvericilik və normativ aktlarını hazırlayır və qəbul edirlər.

2009-cu ilin ortalarında bir sıra qanunvericilik aktları qüvvəyə minmişdir. Bu, ilk növbədə, Rusiya Federasiyasının İnzibati Xətalar Məcəlləsinin kommersiya təşkilatlarında sənədlərin saxlanmasının təşkili üçün tələbləri sərtləşdirən yeni 13.25 "Sənədlərin saxlanmasına dair qanuni tələblərin pozulması" maddəsidir. İndi bir təşkilat, məsələn, işlərin siyahısının olmaması üçün 200-300 min rubl cərimə edilə bilər.

Yeni maddənin tələbləri həm səhmdar cəmiyyətlərinə və qiymətli kağızlar bazarının iştirakçılarına, həm də məhdud məsuliyyətli cəmiyyətlərə, dövlət və bələdiyyə unitar müəssisələrinə şamil edilir. Onlara verilən cəzalar eynidir. Yeganə fərq, məqalənin birinci hissəsində sadalanan təşkilatlarla Maliyyə Bazarları üzrə Federal Xidmət, MMC-lər və unitar müəssisələr - "arxiv fondunun idarə edilməsi sahəsində səlahiyyətli" dövlət orqanı, yəni. Rosarxiv.

Bundan əlavə, 28 aprel 2009-cu il tarixli 733-FZ nömrəli "Rusiya Federasiyasının bəzi qanunvericilik aktlarına dəyişikliklər edilməsi haqqında" Federal Qanun da sənədlərin təhlükəsizliyini təmin etmək üçün tələbləri sərtləşdirdi. Müvafiq normalar Rusiyanın 3 Federal Qanununa daxil edilmişdir: "Banklar və bank fəaliyyəti haqqında", "Kredit təşkilatlarının müflisləşməsi (iflas) haqqında" və "Müflisləşmə (iflas) haqqında". Bu dəyişikliklər artıq 2009-cu il iyunun əvvəlində qüvvəyə minib. Sitat: David Banisar Dünyada informasiya azadlığı. 2006 Dünyada hökumət məlumatlarına çıxış haqqında qanunvericiliyin ümumi icmalı. “Privacy International”, 2006. s. 35-36.

İlk dəfə olaraq qanunvericiliyimiz faktiki olaraq sənədlərin təhlükəsizliyinə görə təşkilatın yuxarı rəhbərliyinin şəxsi məsuliyyətini təqdim etdi.

Yeni tələblər fonunda sənədlərin saxlanma müddətlərinin düzgün müəyyən edilməsi və monitorinqi, saxlama müddəti ötmüş sənədlərin qanunvericiliyə ciddi uyğun olaraq məhv edilməsi məsələsi daha da aktuallaşır. Bu baxımdan, saxlama müddətlərini göstərən sənədlərin yeni siyahılarının hazırlanması və tətbiqi artan maraq doğurur.

29 oktyabr 2009-cu ildə Federal Arxiv Agentliyi "Rusiya Federasiyasının dövlət orqanlarının, Rusiya Federasiyasının təsis qurumlarının dövlət orqanlarının, yerli özünüidarəetmə orqanlarının fəaliyyətində formalaşan standart idarəetmə arxiv sənədlərinin siyahısı" layihəsini ictimai müzakirə və ictimai ekspertizaya təqdim etdi. və müəssisələrdə, təşkilatlarda, müəssisələrdə saxlama müddətləri göstərilməklə." "Rusiya Federasiyasının dövlət orqanlarının, Rusiya Federasiyasının təsis qurumlarının dövlət orqanlarının, yerli özünüidarəetmə orqanlarının və idarələrinin, təşkilatlarının, müəssisələrinin fəaliyyətində yaradılan standart idarəetmə arxiv sənədlərinin siyahısı, saxlama müddətləri göstərilməklə" http://www.rusarchives .ru/news/ptyad.pdf Şöbənin işinin daha da açıq olmasına və hazırlanmaqda olan normativ sənədlərin keyfiyyətinin yüksəldilməsinə töhfə verən bu akta görə Rosarxiv rəhbərliyi ən xoş sözlərə layiqdir və ümid etmək istərdik ki, bu təcrübə ənənəvi hal alacaq.

Yuxarıda sadalanan amillər həm dövlət, həm də özəl sektor təşkilatlarına təzyiq göstərəcək. Bu təzyiqi ilk növbədə kağız və elektron sənəd dövriyyəsini təmin edən xidmət mütəxəssisləri hiss edəcəklər. Çox güman ki, işlərin həcmi artacaq və bu, ilk növbədə dövlət işçilərinə aiddir.

Digər tərəfdən, ənənəvi olaraq kağız sənədlərlə işləyən işçilər, ilk növbədə, informasiya və telekommunikasiya texnologiyalarının tətbiqi ilə bağlı yeni iş sahələrində öz yerlərini tapa bilsələr, yeni imkanlar da yaranır. Bu, onlara təşkilatdakı sosial statuslarını və müvafiq olaraq əmək haqqı səviyyəsini yüksəltmək şansı verəcək.

Əgər 2010-cu il üçün perspektivlər dövlət təşkilatları və kommersiya təşkilatlarının sahibləri üçün o qədər də sevindirici görünmürsə, məktəbəqədər təhsil mütəxəssisləri üçün müəyyən nikbinlik mənbəyi ola bilər. Getdikcə mürəkkəbləşən bir vəziyyətdə, yalnız ixtisaslı mütəxəssislər sənədlərlə işi bacarıqla təşkil edə bilər və bunu hələ başa düşməyən menecerlər qanuni tələbləri pozduğuna görə cərimə ödəmək üçün bir neçə yüz min rubl saxlamalıdırlar.

Hamıya xeyirli gün! Bu yazıda şəxsi məlumatların qorunması mövzusunu (bundan sonra biz onu PD adlandıracağıq), həmçinin tənzimləyicilərdən qorunma mövzusunu bir daha qaldırmaq istərdim. Fərdi məlumatların qorunması mövzusunda müzakirələrin zirvəsi çoxdan keçib. Bu zirvələr ümumiyyətlə 152-FZ-nin tam qüvvəyə minməsi üçün növbəti "çox son tarix" yaxınlaşdıqda baş verdi. Nəticədə “son müddət” çatdı, fəal müzakirələr səngidi, lakin “Fərdi məlumatlar haqqında” qanun yaşayır, tənzimləyicilər yoxlamalar aparır və qanunu pozanları cəzalandırır. Buna görə də mövzu uzun müddət aktual olacaq.

Dərhal qeyd edim ki, bu məqalə texniki məlumatdan daha çox təşkilati məlumatlardan ibarət olacaq. "Niyə bizə belə məlumat lazımdır?" – Habrın oxucusu soruşacaq. İzah edim: elə olur ki, həm böyük, həm də kiçik təşkilatların rəhbərləri uzun məntiqi zəncirlər qurmağı və öz səlahiyyətlərindən uzaq olan bir məsələnin mahiyyətini araşdırmağı sevmirlər. Buna görə də, fərdi məlumatların mühafizəsini təmin etmək zərurəti yarandıqda, onların fikrincə, kifayət qədər məntiqli bir əlaqə qurulur: “Şəxsi məlumatların mühafizəsi” -> “İnformasiyanın mühafizəsi” -> “İnformasiya texnologiyası” -> “Məsələni qoyun. İT insanlarının şəxsi məlumatlarının qorunması.” Və bu məsələdə aslanın payının hüquqşünaslara və kadr zabitlərinə həvalə oluna biləcəyi məni maraqlandırmır, amma köhnə zarafatda deyildiyi kimi: "kim lumine yükləməyi sevmirsə, çuqun yükləyər."

Xüsusi kateqoriyalı şəxsi məlumatların açıqlanmasının tipik nümunəsi (intim həyat haqqında məlumat)

Bəs niyə burada şəxsi məlumatların texniki qorunmasını nəzərə almayacağam?

Bir neçə səbəb var:

  • İnternetdə bu məlumatların çoxu var və az-çox birmənalı deyil.
  • Bu mövzu kifayət qədər genişdir və ayrıca məqaləyə layiqdir, bu əsərdə hələ də təşkilati məsələlərə toxunmaq istəyirəm.
  • Təşkilati məsələlər Roskomnadzor, texniki məsələlər isə FSTEC tərəfindən yoxlanılır. FSTEC, hər bir bölgədə Roskomnadzor şöbəsi olduğu və Federal Dairə üçün yalnız bir FSTEC şöbəsi olduğu üçün fərdi məlumatların qorunması ilə bağlı daha az yoxlayır.
  • Fərdi məlumatların texniki mühafizəsini tənzimləyən 781 nömrəli Hökumət Fərmanının ləğvi və onun PP No 1119 ilə əvəz edilməsi ilə əlaqədar olaraq, Rusiya FSTEC və Rusiya FSB-nin normativ sənədləri "müəyyən" vəziyyətdə idi. Nəzəri olaraq, onlardan istifadə edilə bilməz, çünki onlar ləğv edilmiş 781 saylı Qərarın icrası üçün verilmişdir, lakin digər tərəfdən, Rusiya FSTEC-in sənədləri Rusiyanın FSTEC-i tərəfindən ləğv edilməlidir. Buna görə də, tənzimləyicilərdən yeni sənədlər buraxıldıqdan sonra fərdi məlumatların texniki qorunmasını ətraflı nəzərdən keçirmək daha yaxşıdır.
  • İT işçiləri hələ də şəxsi məlumatların texniki mühafizəsinə daha yaxındırlar və onlar üçün bunu başa düşmək daha asandır, lakin rəhbərlik “kağız” işi tapşırdıqda, çoxlarının köməyə və aydınlaşdırmağa ehtiyacı ola bilər.

Özünüz haqqında bir az

Əvvəlcə özüm haqqında bir az danışmağı lazım bildim ki, oxucu başa düşsün ki, aşağıda yazılan hər şey müxtəlif təşkilatlarda şəxsi məlumatların mühafizəsinin təşkili üzrə şəxsi təcrübəyə əsaslanır və İnternetdəki müxtəlif forum debatlarının kvintessensiyası deyil ( orada "mütəxəssislər" bəzən belə yazacaqlar ki, saçlar yalnız başda deyil, uclarında dayanır).

Mən Uzaq Şərqdə informasiya təhlükəsizliyi sahəsində müəssisələrin autsorsinqi ilə məşğul olan şirkətlərdən birinin şöbə müdiriyəm. Əlbəttə ki, şəxsi məlumatların qorunması bizim ən populyar xidmətlərimizdən biridir. 2008-ci ildən bu istiqamətdə çalışıram. Müştərilər arasında həm kiçik təşkilatlar, həm də kifayət qədər böyük dövlət (idarələr, dövlət idarələri, qanunvericilik məclisləri və s.) və kommersiya (mobil operatorlar, internet provayderləri, özəl tibb klinikaları) var.

Bəzi müştərilər fərdi məlumatların qorunması sahəsində qanuni tələblərə uyğunluğu təmin etmək üçün Roskomnadzor tərəfindən yoxlamalardan keçmişlər və bu günə qədər nəticə 100% uğurlu yoxlamalardır. Mənim də belə bir audit zamanı təşkilatın maraqlarını təmsil edən şəxsi təcrübəm var.

Beləliklə, siz şəxsi məlumatların emalının təşkili üçün məsul təyin olundunuz və bundan əlavə, gələn il üçün Roskomnazdor yoxlama planına daxil olduğunuzu öyrəndiniz. Haradan başlamaq lazımdır?

Beləliklə, belə oldu: patron çox təlaşa düşmədən əmr imzaladı və dedi ki, "Horns and Hooves MMC-nin sistem administratoru I. I., açıq təşkilatımızda şəxsi məlumatların qorunmasının feng shui olmasını təmin etməlidir." Əvvəlcə nə etməli?

İlk növbədə, təşkilatınızın fərdi məlumat operatorlarının reyestrində olub olmadığını öyrənməlisiniz. Bunu etmək üçün axtarışa şirkətin VÖEN-ini daxil edin. Əgər belə bir bildiriş yoxdursa, onda siz onu təqdim etməlisiniz (lakin nəzərə almalısınız ki, əgər bildiriş əvvəllər təqdim olunmayıbsa, bu, tənzimləyicinin təşkilatınızı cərimələməsi üçün artıq bir səbəbdir).

Bildiriş hələ də mövcuddursa, onun məzmununu aydınlaşdırmaq lazımdır. Tez-tez olur ki, bildiriş 2007-ci ildə kadrlar departamentindən Vasya Pupkin tərəfindən doldurulub, o da çoxdan işdən çıxarılıb. Belə olan halda bir çox sahələrin məzmununun reallığa uyğun gəlməməsi tamamilə təbiidir. Eyni zamanda, cəza tədbirləri təcrübəsi göstərir ki, əksər əmrlər Roskomnadzor tərəfindən məhz bildirişlə təşkilatda faktiki baş verənlər arasındakı uyğunsuzluqla əlaqədar verilir. Məsələn, "Emal edilmiş fərdi məlumatların kateqoriyaları" sütununda "tam ad, pasport məlumatları, yaşayış ünvanı, telefon nömrəsi" göstərilir və siz də sağlamlıq məlumatlarını emal edirsiniz.

Fərdi məlumatlar portalında bildirişdə dəyişiklik etmək üçün xüsusi forma da mövcuddur. Burada yadda saxlamalısınız ki, sonradan Roskomnadzorun ərazi şöbəsinə kağız məktub göndərməsəniz, dəyişikliklər nəzərə alınmayacaq. Eyni şey ilkin bildirişə də aiddir.

Yaxşı, bildirişi sıraladıq, sonra nə olacaq?

Sonra təşkilatınızda bir dəstə sənədləri (təlimatlar, əsasnamələr, əmrlər, jurnallar və s.) dərc etməli və təsdiq etməlisiniz. Burada yadda saxlamaq lazımdır ki, sənədlər təkcə avtomatlaşdırılmış emal deyil, həm də “analoq” emal prosesini tənzimləməlidir.

Belə sənədlərin siyahısı yoxdur, yalnız onlarda təsvir etməli olduğunuz aspektlərin siyahısı var.
İlk addım şəxsi məlumatların emalının təşkilinə cavabdeh olan şəxsin təyin edilməsidir (indi bu şəxsin operatorun bildirişində göstərilməsi tələb olunur). Bu şəxs ilk növbədə “kağız” suallara cavabdeh olacaq. Şəxsi məlumatların təhlükəsizliyinin inzibatçısı təyin etmək də tələb olunur. O, məsələnin texniki tərəfinə cavabdeh olacaq. Hər ikisi bir sifarişlə təyin oluna bilər. Burada dərhal qeyd etmək istərdim ki, bütün mətnlərin qanunvericiliyin mətni ilə əlaqələndirilməsi şiddətlə tövsiyə olunur, çünki müfəttişlər çox vaxt onlarda səhv tapırlar. Məsələn, sadəcə olaraq fərdi məlumatların emalının təşkilinə cavabdeh olan şəxsi şəxsi məlumatların emalına cavabdeh kimi adlandırsanız, onda 99,9% ehtimalla tənzimləyici yoxlama prosesi zamanı sənədə dəyişiklik etməyinizi xahiş edəcək.

Bundan əlavə, bir çox insanlar bunu unudurlar, lakin Roskomnadzor tələb edir: PD-nin kağız üzərində işləndiyi bütün ofislərdə saxlama yerləri (seyf, şkaf, raf) və bu ofisdə PD-nin məxfiliyinin qorunmasına cavabdeh olanlar müəyyən edilməlidir. Sadə dillə desək, biz əmr veririk ki, orada “1 nömrəli ofisdə seyfi saxlama yeri kimi təsdiq edin, filan-filan məsul təyin edin” yazırıq.
Sonra, bir təsnifat komissiyası və PD məhv komissiyası təyin etməlisiniz. Bu komissiyaların tərkibinə aşağıdakılar daxil edilməlidir: komissiyanın sədri və komissiyanın ən azı iki üzvü. Hər iki komissiya tərkibinə görə 100% eyni ola bilər.

Bundan sonra, şəxsi məlumatları emal etmək səlahiyyəti olan şəxsləri müəyyən etmək lazımdır. Bunlar həm təşkilatın işçilərinin, həm də müştərilərin, abunəçilərin və digər kateqoriyalı qurumların şəxsi məlumatları ilə işləyən işçilərdir. Bundan əlavə, sənəddə hansı işçinin hansı məlumatlara çıxışı var, bu məlumatları avtomatlaşdırma vasitələrindən istifadə edərək emal edib-etməməsi, avtomatlaşdırılmış emal zamanı sistemdəki rolu (istifadəçi, inzibatçı və s.) göstərilməlidir. Burada qeyd etmək lazımdır ki, fərdi məlumatları emal etmək səlahiyyətinə malik hər bir işçi şəxsi məlumatların açıqlanmaması haqqında müqavilə imzalamalıdır.

Növbəti addım bizimlə qorunmalı olan şəxsi məlumatların kateqoriyalarını müəyyən etməkdir. Bu da ayrıca sifarişlə həyata keçirilir. Burada bir çox insanın unutduğu bir məqam da var, lakin Roskomnadzor yoxlamalar zamanı şəxsi məlumatların məxfi məlumatların xüsusi halı olub-olmadığını soruşur, buna görə də belə bir siyahı ayrıca sərəncamla təsdiqlənməlidir. Məxfi məlumat kimi təsnif edilə bilənlər Rusiya Federasiyası Prezidentinin 6 mart 1997-ci il tarixli 188 nömrəli Fərmanı ilə müəyyən edilir. Sadəcə olaraq təşkilatınızla əlaqəli maddələri sifarişinizə yenidən yazın və işiniz bitdi.

Nəhayət, təşkilatda şəxsi məlumatların qorunmasını tənzimləyən əsas sənədi təsdiq etməlisiniz. Tipik olaraq, belə bir sənəd "Fərdi məlumatların emalı və qorunması haqqında Əsasnamə" adlanır. Burada qanunvericilikdən əsas anlayışları, fərdi məlumatların emalının məqsədləri və hüquqi əsaslarını, operatorun hüquq və vəzifələrini, fərdi məlumat subyektinin hüquq və vəzifələrini təsvir edirsiniz.

Siz həmçinin bir sıra qeydlər hazırlamalı olacaqsınız; Roskomnadzor-a şəxsi məlumatları qorumaq üçün müntəzəm (yalnız birdəfəlik deyil) fəaliyyət göstərdiyinizi göstərməlisiniz. Məsələn, “İnformasiya Təhlükəsizliyi üzrə Təlim jurnalı” və “Şəxsi məlumatların mühafizəsinə nəzarət jurnalı” bu işdə sizə kömək edəcək. Məcburidir (Roskomnadzor mütləq xahiş edəcək) fərdi məlumatların subyekti olan vətəndaşların qanuni hüquqlarının yerinə yetirilməsi ilə bağlı sorğularının jurnalı olmalıdır. Həmçinin, yoxlamadan əvvəl tənzimləyici orqanlar tərəfindən hüquqi şəxslərin yoxlamaları jurnalını almağı unutmayın.

Təşkilatınızda şəxsi məlumatların qorunması üçün təşkilati sənədlərin həyata keçirilməsini ümumiləşdirmək üçün bir daha təkrar edirəm ki, sənədlərin ciddi siyahısı yoxdur. Siz yuxarıda sadaladığım hər şeyi təsvir etdiyiniz “Şəxsi Məlumatların Mühafizəsi Siyasəti” adlı böyük bir sənəd yarada və ya bir çox kiçik sənədlərə parçalaya bilərsiniz. Siz bir neçə müxtəlif əmrlər verə bilərsiniz və ya bir əmrlə bütün məsul şəxsləri təyin edə, şəxsi məlumatların işlənməsinə icazə verilən şəxsləri və s. müəyyən edə bilərsiniz.

Ancaq buna baxmayaraq, nümunə olaraq müştərilərimizlə adətən həyata keçirdiyimiz sənədlərin standart siyahısını verəcəyəm:

  • məxfi məlumatların siyahısı;
  • informasiya təhlükəsizliyi administratorunun təlimatları;
  • fərdi məlumatların emalının təşkili üçün məsul şəxslərin təyin edilməsi haqqında əmr və fərdi məlumatların qorunması üçün tədbirlərin siyahısı;
  • qorunmalı olan fərdi məlumatların siyahısı;
  • fərdi məlumatların saxlanma yerlərinin təsdiq edilməsi haqqında əmr;
  • fərdi məlumatların məlumat sisteminin istifadəçiləri üçün təlimatlar;
  • şəxsi məlumatların məhv edilməsi üçün komissiyanın təyin edilməsi haqqında əmr;
  • aparat və proqram təminatının, məlumat bazalarının və informasiya təhlükəsizliyi vasitələrinin ehtiyat nüsxəsinin çıxarılması və funksionallığının bərpası qaydasını;
  • fərdi məlumatların mühafizəsi rejiminin daxili auditi planı;
  • fərdi məlumatların məlumat sistemini istismara vermək üçün;
  • fərdi məlumatların məlumat sisteminin saxlanma vasitələrinin jurnalı;
  • şəxsi məlumatların mühafizəsinə nəzarət üzrə fəaliyyətlərin jurnalı;
  • fərdi məlumatların subyekti olan vətəndaşların qanuni hüquqlarının həyata keçirilməsi ilə bağlı müraciətlərinin jurnalı;
  • avtomatlaşdırma vasitələrindən istifadə etmədən şəxsi məlumatların emalı qaydaları;
  • işlənmiş şəxsi məlumatlara giriş hüquqlarının məhdudlaşdırılması haqqında müddəa;
  • fərdi məlumatların məlumat sisteminin təsnifatı aktı;
  • fərdi məlumatların məlumat sistemində antivirus nəzarətinin aparılması üçün təlimatlar;
  • parol mühafizəsinin təşkili üçün təlimat;
  • informasiya təhlükəsizliyi vasitələrinin dövri sınaqlarının jurnalı;
  • şəxsi məlumatları ehtiva edən sənədlərin məhv edilməsi aktının forması;
  • şəxsi məlumatların açıqlanmaması haqqında müqavilə;
  • informasiya təhlükəsizliyi vasitələrinin jurnalı;
  • informasiya təhlükəsizliyi üzrə brifinq jurnalı;
  • fövqəladə hallar zamanı təhlükəsizliyin təmin edilməsi üçün istifadəçi təlimatları;
  • fərdi məlumatları emal etmək səlahiyyəti olan şəxslərin siyahısı haqqında əmr;
  • fərdi məlumatların emalı və mühafizəsi üzrə tənzimləmə;
  • fərdi məlumatların təhlükəsizliyini təmin etmək üçün tədbirlər planı;
  • fərdi məlumatların informasiya sistemində təhlükəsizlik təhdidlərinin modeli.

Beləliklə, bu kimi bir şey, yenə də siyahı daha geniş və ya daha dar ola bilər, hər şey sənədlərin hər birində nə yazılacağından asılıdır, burada vacib olan məzmundur. Bütün sənədlərin nümunələri Google üçün olduqca asandır.

Çoxları yəqin ki, sənədlərin siyahısında informasiya sistemlərində fərdi məlumatların avtomatlaşdırılmış işlənməsini və mühafizəsini tənzimləyən çoxlu sənədlərin olduğunu fərq etmişlər. Yoxlama zamanı Roskomnadzor texniki dəstəkdən daha çox PD qorunması üçün sənədli dəstəyə daha çox diqqət yetirməsinə baxmayaraq, PD qorunması ilə bağlı nə qədər çox sənəd təqdim etsəniz, tənzimləyicidən karmanızda bir o qədər çox üstünlüklər alacaqsınız.

Sənədlər bölməsini yekunlaşdıraraq, diqqət etməli olduğunuz daha bir neçə məqamı qeyd edəcəm. Birincisi, yuxarıda göstərilən sənədlərin hamısı tanışlıq vərəqi ilə birlikdə gəlməlidir və bu sənədin təsirinə məruz qalan bütün şəxslər (istər göstəriş, istərsə də əmr olsun) vərəqi oxuduqlarını imzalamalıdırlar. İkincisi, fərdi məlumatları emal etmək səlahiyyəti olan bütün şəxslərin vəzifə təlimatlarında “Fərdi məlumatlarla işləyərkən fərdi məlumatların emalı və mühafizəsi haqqında Əsasnaməni rəhbər tutun” sətri olmalıdır. Üçüncüsü, daxili sənədlərdən əlavə, bir ictimai sənəd hazırlamaq lazımdır. Adətən “Şəxsi Məlumatların Emalı Siyasəti” adlanır. Belə bir sənəd PD operatorunun internet saytında, əgər veb-sayt yoxdursa, ofisdəki məlumat lövhəsində və ya ictimaiyyət üçün açıq olan başqa yerdə yerləşdirilməlidir. Siz həmçinin google-da çoxlu siyasət nümunələri tapa bilərsiniz.

Sertifikatlaşdırma

Baxmayaraq ki, bu məqam daha çox texniki mühafizəyə aiddir (axı, sertifikatlaşdırma informasiya sistemimiz informasiya təhlükəsizliyi vasitələri ilə tam yükləndikdə həyata keçirilir), mən yenə də burada bu barədə bir neçə kəlmə demək istədim. Mən müntəzəm müştərilərdən çox vaxt eşidirəm ki, onların beyinləri yuyulub, fərdi məlumatların məlumat sistemlərinin sertifikatlaşdırılması məcburidir. Birdəfəlik xatırlayın - bütün bunlar BASS-dır! İnformasiyalaşdırma obyektlərinin sertifikatlaşdırılması haqqında əsasnamədə ağ-qara yazılıb ki, yalnız dövlət sirri olan obyektlər və ekoloji təhlükəli obyektlər məcburi sertifikatlaşdırılmalıdır. Buna görə də, məcburi ISPD sertifikatı ilə bağlı bütün bu cəfəngiyatlar, sadəcə olaraq, inandırıcı müştəridən yenidən pul qazanmaq istəyən vicdansız inteqratorların hiylələridir.

ISPD sertifikatı yalnız o halda məcburi ola bilər ki, təşkilatınız daha yüksək orqana tabedir və bu yuxarıda sizə bütün ISPD-nizi sertifikatlaşdırmağı əmr edib.

Baxmayaraq ki, təşkilatın rəhbəri də sertifikatlaşdırmanı istəyə bilər, çünki uyğunluq sertifikatı sizin informasiya sistemlərinizin həm sənədli təminat, həm də texniki mühafizə baxımından qanuna tam uyğun olduğunu aydın şəkildə təsdiq edir. Bu vəziyyətdə, sertifikatın etibarlılığının şərtlərindən birinin ISPD-nin iş şəraitinin dəyişməzliyi olduğunu xatırlamaq lazımdır. Yəni, kobud desək, siz sertifikatlaşdırma orqanının razılığı olmadan iş yerinizdə monitoru dəyişə və ya əlavə proqram quraşdıra bilməzsiniz və bu, əlavə xərclərə səbəb olur. Uyğunluq sertifikatının maksimum üç il müddətinə verilə biləcəyini də xatırlamağa dəyər və sonra hər şey yenidən başlayacaq.
Əsas mövzumuza - Roskomnazdor yoxlamasına hazırlığa qayıdaraq demək istərdim ki, bu sahədə işlədiyi bütün beş il ərzində müfəttişlər heç vaxt Uyğunluq Sertifikatı tələb etməyiblər.

Nəticə əvəzinə

Kifayət qədər çox məktub var və düşünürəm ki, başa çatdırmağın vaxtı gəldi, xüsusən də yuxarıda göstərilən tədbirləri tamamladıqdan sonra deyə bilərik ki, Roskomnadzor tərəfindən yoxlamaya hazırsınız. Ancaq yenə də mən bir daha əsas addımları qısa şəkildə formalaşdırmağa çalışacağam, onların həyata keçirilməsi auditin nəticələrinə əsaslanaraq müsbət nəticə əldə etmək ehtimalı yüksək dərəcədə sizə kömək edəcək və bəzi digər məqamlara daxil edilmir. məqalə:

  • Operator bildirişi. Bildirişin olub-olmamasını, habelə oradakı məlumatların doğruluğunu yoxlamaq lazımdır.
  • Roskomnadzor şəxsi məlumat sistemlərinizi yoxlamayacaq, bu funksiyalar Rusiya FSTEC və Rusiya FSB-yə həvalə edilmişdir (şifrələmə vasitələrindən istifadə edildiyi təqdirdə), buna görə də sənədli dəstəyə və işçilərinizə məlumat verilməsinə diqqət yetirin.
  • Düşünürəm ki, Roskomnadzor-dan yoxlama alsanız və kadrlar şöbəsində kiminsə iş masasında baxımsız qalan kiminsə pasportlarının bir yığın fotokopisi varsa, bu, epik uğursuzluq olacaq.
  • Əgər oxuduğunuz hər şeydən və gördüyünüz bütün fəaliyyətlərdən sonra hələ də suallarınız varsa, Roskomnadzorun regional şöbəsinə zəng etmək üçün tənbəl olmayın (və bundan əlavə, qorxmayın və ya utanmayın). Hər hansı sualınız ola bilər. Bir qayda olaraq, onlara çatmaq asandır (bir çox digər dövlət qurumları ilə müqayisədə) və RKN əməkdaşları görüşə gedir və bəzi mübahisəli məsələlərə baxışlarını izah edirlər. Bəzi hallarda belə bir çağırış hətta həyati zəruridir, çünki bizim qanunvericiliyimiz çox vaxt iki cür şərh edilə bilər və hətta elə olur ki, eyni RKN əməkdaşı problemə bu gün bir, sabah isə başqa nöqteyi-nəzərdən baxır.
  • Bütün subyektlərdən şəxsi məlumatların emalı üçün razılıq toplamaq daha yaxşıdır. Bəli, qanunda razılığın tələb olunmadığı halların siyahısı var, məsələn, operator və subyekt müqavilə münasibətlərinin tərəfləri olduqda. AMMA, burada yadda saxlamaq lazımdır ki, biometrik və xüsusi kateqoriyalı PD-lərin emalı, həmçinin PD-nin üçüncü şəxslərə ötürülməsi YALNIZ subyektin razılığı ilə həyata keçirilir. Hər halda, şəxsi məlumatların emalına razılığın verilməsi sizi bir çox müxtəlif xoşagəlməz problemlərdən azad edir. Və əgər bu razılıqları toplamaq mümkündürsə, bunu etmək daha yaxşıdır. Burada, yeri gəlmişkən, bildirişdə olduğu kimi, razılıqda göstərilən məlumatların əslində nə və necə işlədiyinizlə üst-üstə düşdüyünü xatırlamalısınız.
  • Auditin əvvəlində tənzimləyicilərə hər cür əməkdaşlıq etməyə hazır olduğunuzu göstərin və auditin özündə aşkar edilmiş çatışmazlıqları düzəltməyə hazırsınız. Mükəmməl hazırlamaq mümkün deyil, hər halda bəzi şərhlər olacaq. Bu qorxulu deyil, onlar adətən 20 gün davam edən yoxlama prosesi zamanı aradan qaldırıla bilər. Şərhlər aradan qaldırılarsa, bu, yekun protokolun məzmununa mənfi təsir göstərməyəcək.

Yəqin burada bitirəcəm. Gördüyünüz kimi, RKN yoxlamaları ilk baxışdan göründüyü qədər qorxulu deyil. Oxucuların şəxsi məlumatlar mövzusundakı aşağıdakı məqalələrlə bağlı hər hansı sualları və ya təklifləri varsa, mən hər şeyi cavablandırmağa və hər şeyi nəzərə almağa çalışacağam.

25 mart 2016-cı il saat 12:14

Şəxsi məlumatların qorunmasına dair sənədlər. Biz pulsuz yükləyicilərlə mübarizə aparırıq

  • İnformasiya təhlükəsizliyi

Bu məqalə istifadəçi tərəfindən daxil edilmiş bəzi məlumatlar əsasında fərdi məlumatların mühafizəsi üzrə təşkilatın daxili sənədlər toplusunun avtomatik yaradılması üçün müxtəlif xidmət növlərinə həsr edilmişdir. Düzünü desəm, əvvəlcə bu qəzəbli yazı idi. Bu xidmətlərdən birinin nümayəndələrinin yaşadığım şəhərin tibb müəssisələrinin baş həkimlərinə baş çəkərək məni prokurorluq və “Fərdi məlumatlar haqqında” qanunu pozduğuma görə cəzalandırmaqla hədələmələri barədə şəxsi kanallar vasitəsilə daxil olan məlumat məni qıcıqlandırdı. belə bir xidmətə abunə olmaqdan imtina edin. Ancaq şans işə qarışdı - məqalənin yazılması prosesində təcili məsələlər ortaya çıxdı. Və o vaxt hazır olan bütün yazılar bir həftəyə qaralamalara göndərilirdi. Bu müddət ərzində buxar bir qədər azaldı və indi mən sakit şəkildə izah etməyə çalışacağam ki, niyə bu cür xidmətlərin şəxsi məlumatların qorunması ilə bağlı daxili sənədlərin lazımi keyfiyyətini təmin etmədiyini, mən bu cür portalların digər problemlərindən danışacağam. sonunda eyni sənədlərin bəzi hodgepodgelarına bir keçid verəcəyəm.

Problem №1. Müştərinin aldadılması Yalan

Burada, yəqin ki, dərhal nümunələrlə başlamağa dəyər.

Saytların birində, birinci səhifədə şəxsi məlumatların işlənməsi qaydalarını pozmağa görə maksimum cərimənin 300.000 rubl olduğu yazılır. Bu doğru deyil. Hazırda Rusiya Federasiyasının İnzibati Xətalar Məcəlləsinin 13.11-ci maddəsi hüquqi şəxslər üçün maksimum 10 min rubl cərimə nəzərdə tutur. Burada, görünür, İnzibati Məcəllənin 13.11-ci maddəsinin genişləndirilməsini nəzərdə tutan və faktiki olaraq maksimum cəriməni 300.000 rubla qədər artıran 683952-6 saylı qanun layihəsindən danışırıq, lakin qanun layihəsi keçən ilin payızında birinci oxunuşdan keçib və fəaliyyəti dayandırılıb. Və nəhayət qəbul edilib-edilməyəcəyi bilinmir. Nəticə: saytın müəllifləri ya vəziyyətdən xəbərsizdirlər, ya da qəsdən böyük cərimələr qorxusundan istifadə etməyə çalışırlar, bu da yaxşı deyil.

İkinci misal: başqa bir xidmət şəxsi məlumatların mühafizəsi sahəsində hər hansı tənzimləyici orqan tərəfindən öz sənədləri ilə hər hansı yoxlamanın uğurla keçəcəyini təntənəli şəkildə vəd edir. Birincisi, xidmət hətta Roskomnadzorun göstərməsini tələb etdiyi "Təhlükə Modeli" kimi vacib bir sənəd yaratmır və onsuz hətta sənədli yoxlama da uğurla keçə bilməz. İkincisi, FSTEC və FSB təkcə kağız parçalarını yoxlayır. Üçüncüsü, demək istəyirəm ki, bəzi bölgələrdə (hamısında deyil) çubuq sistemi var və biz buna nə qədər yaxşı hazırlaşsaq da, imtahandan uğurla keçmək mümkün deyil.

Problem # 2: Fərdiləşdirmənin olmaması

Əlbəttə ki, sənədlər toplusunun hazırlanması üçün demək olar ki, bütün xidmətlər sizə xüsusi olaraq sizin üçün sənədlər toplusunun çevik fərdiləşdirilməsi haqqında məlumat verəcəkdir, lakin bu bəyanatı 1 nömrəli problemin üçüncü nümunəsi kimi göstərmək olar.

Düzünü desəm, bir vaxtlar mən özüm də Java-da oxşar “doldurucu” şablonu yazmışdım, amma nədənsə mənim işimə uyğun gəlmədi; ən yaxşısı, təşkilatın adını avtomatik olaraq daxil etmək və tez-tez təkrarlanan digər şablonları daxil etməkdir. sənədlərdəki şeylər. Məqsəd yüksək keyfiyyətli sənədlərin yazılmasıdırsa, o zaman həm təşkilatın biznes proseslərinin bütün xüsusiyyətləri, həm də şəxsi məlumatların yerləşdirildiyi İT platformasının xüsusiyyətləri nəzərə alınmaqla əl ilə yazılmalı olacaq. sistemi qurulur. Mənim işimdə, bir qayda olaraq, bu, tam olaraq vəzifədir və "yoxlamadan çıxmalı" olanlar üçün aşağıda şablon dəstini təqdim edirik. Pulsuz. Ancaq burada xatırlamaq lazımdır ki, tənzimləyicilər də yerində dayanmırlar və yeddi il əvvəl uyğunlaşdırılmış sənədlərlə deyil, şablon dəsti ilə yoxlamadan keçmək getdikcə çətinləşir.

Tam və faydalı sənədlər toplusunu hazırlayarkən şablon "doldurucuların" niyə kömək etməyəcəyini izah edim. Məsələn, “Təhlükəsizlik Administratoru Təlimatları” mühüm və faydalı sənədi götürək. Şübhəsiz ki, sənəd nümayiş üçün hazırlandıqda, çox tük və çox az spesifiklik ehtiva edir. Əgər tam hüquqlu bir sənəd hazırlayırıqsa, şəxsi məlumatların məlumat sisteminin iş şəraitindən asılı olaraq təhlükəsizlik inzibatçısının bütün məsuliyyətlərini və hərəkətlərini təsvir etməliyik. Və buradan belə çıxır ki, sənədin məzmununa çoxlu sayda amillər təsir edir:

Virtuallaşdırma istifadə olunur?
- Mobil cihazlardan istifadə olunurmu?
- ehtiyat nüsxə, hansı vasitələrlə həyata keçirilir, hansı tezliklə, ehtiyat nüsxələr harada saxlanılır?
- və s. və s.

Əlbəttə ki, şablonda bütün bunları nəzərə almağa cəhd edə bilərsiniz, lakin sonra xidmət istifadəçiləri "sadə və asan, sadəcə pul ödəyin" prinsipinə zidd olan böyük miqdarda məlumat toplamalı və daxil etməli olacaqlar.

Şablonların "doldurucusu" ağlabatan olaraq edə biləcəyi hər şey məsul şəxslərin və ya hər hansı komissiyaların təyin edilməsi üçün müxtəlif əmrlərdir. Biznes prosesləri və ya İT infrastrukturunun xüsusiyyətləri ilə bağlı suallar başlayan kimi problemlər başlayır.

Problem № 3. Sənədlərin özlərinin şübhə doğuran keyfiyyəti

Qismən, problemin əvvəlki ilə ortaq bir cəhəti var, lakin 2 nömrəli problemdə biz daha çox avtomatlaşdırılmış doldurmanın xüsusiyyətlərindən danışırdıq, onda burada dəyişdirilə bilməyən şablonların mətnindən danışırıq. Ən sadə göstərişləri belə pozmağı bacarırlar.

Misal. Tipik olaraq, informasiya sistemi şəxsi məlumatların mühafizəsinə cavabdeh olan iki nəfəri təyin edir - biri şəxsi məlumatların təşkilinə cavabdehdir (təşkilati məsələlər haqqında daha çox) və informasiya təhlükəsizliyi inzibatçısı (texniki məsələlər üzrə - təhlükəsizlik vasitələrinin qurulması və s.). Müvafiq olaraq, bu rollar adətən “Məsuliyyətli” və “İdarəçi” kimi qısaldılır. Beləliklə, xidmətlərdən biri bu iki dostu “şəxsi məlumatların emalının təşkilinə cavabdeh” və “şəxsi məlumatların təhlükəsizliyinin təmin edilməsinə cavabdeh” adlandırdı; onlar, yəqin ki, təxmin etdiyiniz kimi, “Məsuliyyətli” və (birdən!) “Məsuliyyətli”. Bu məsul şəxslərin təyin edilməsi ilə bağlı sərəncamda heç bir hiylə anlayışı yoxdur; sənədlərin müəllifləri bu iki fərqli insanın qarşılıqlı əlaqəsini təsvir etməyə başlayanda dəhşət başlayır, “Məsuliyyətli və Məsuliyyətli üzərində cavabdeh” kimi bir şey çıxır. sürür.”

Problem # 4: Təhlükəsizlik

Qəribədir ki, informasiya təhlükəsizliyini təkmilləşdirmək üçün nəzərdə tutulmuş xidmətlər özləri məxfi məlumatlar olan formaları göndərərkən şifrələmənin qeyri-adi olmamasından tutmuş bu məlumatların xidmətdə necə saxlandığına, serverlərə fiziki girişin necə təşkil olunduğuna qədər bir sıra suallar doğurur. və daha çox. Eyni zamanda, xatırlayırıq ki, bu günə qədər xidmətlər "asan və sadə" prinsipi ilə işləyir və böyük miqdarda məlumat toplamır, lakin onları "təkmilləşdirmək" olar. Amma buna baxmayaraq, ən azı, məsul şəxslərin və müxtəlif komissiyaların üzvlərinin şəxsi məlumatları, informasiya sistemi ilə bağlı əsas məlumatlar təqdim edilməlidir.

Bütün bunlar nə üçündür?

Əminəm ki, boş sənədləri, hətta avtomatik şablon doldurucu adı altında pulla satmaq keçmişdə qalıb. Əminəm ki, potensial müştəriləri qorxutmaq və aldatmaq çıxılmaz bir marketinq modelidir. Bu cür xidmətlərə abunə qiyməti ildə 10 ilə 50 min rubl arasında dəyişir. Bu pul üçün, biznes proseslərinin və İT infrastrukturunun tam auditi ilə yüksək keyfiyyətli dəst hazırlayacaq bir mütəxəssis işə götürə bilərsiniz (bəli, böhran vəziyyətində təcrübəli mütəxəssis hətta 10 min rubla işləməyə razı ola bilər). Ancaq seçim şablonlara düşdüsə, bunun üçün pul ödəməyin mənasını görmürəm. Bundan əlavə, müxtəlif sənədlər pulsuz olaraq Google-da ola bilər. Söz verdiyim kimi, bu tapşırığı asanlaşdırmaq üçün bəzi seçimlər yerləşdirdim

“Kadr məsələsi”, 2012, N 7

HR XİDMƏTİNDƏ ŞƏXSİ MƏLUMATLARIN QORUNMASI

Tələblərinə uyğun olaraq Ç. Əmək Məcəlləsinin 14-ü və "Fərdi məlumatlar haqqında" Federal Qanun (27 iyul 2006-cı il tarixli N 152-FZ), bir təşkilatın kadr xidmətində fərdi məlumatların qorunması prosesi ciddi şəkildə tənzimlənməlidir. Nəzərə almaq lazımdır ki, fərdi məlumatların etibarlı mühafizəsinin və nəticə etibarilə şəxslərin real hüquq və azadlıqlarının təmin edilməsinin əsasını təşkil edən şəxsi məlumatların sənədləşdirilməsi, emalı və onlara ciddi riayət olunması üçün təşkilati formaların və texnologiyanın tənzimlənməsidir. əmək sferasında vətəndaşlar.

Kadrlar xidmətinin sənədləri, faylları və məlumat bazaları ilə işləyərkən fərdi məlumatların qorunmasının aşağıdakı əsas prinsiplərinə əməl edilməlidir:

Təşkilatın rəhbərliyinin və HR işçilərinin şəxsi məlumatların təhlükəsizliyinə və məxfiliyinə, habelə bu məlumatların daşıyıcılarına görə şəxsi məsuliyyəti;

Təşkilatın müxtəlif rəhbərləri və HR işçiləri arasında fərdi məlumatların bölünməsi (parçalanması);

Bütün səviyyələrdə menecerlərin və işçilərin şəxsi məlumatları ehtiva edən sənədlərə çıxışı üçün aydın icazə (demarkasiya) sisteminin mövcudluğu;

Kadrlar xidmətində ənənəvi və elektron sənədlərin, faylların və məlumat bazalarının və təşkilatın bölmələrində kadr sənədlərinin mövcudluğunun müntəzəm yoxlanılması.

Kadr sənədləri ilə işləmə proseduru məxfi sənədlər və şəxsi məlumatlarla işləmə tələblərinə tam uyğun olmalıdır.

Fərdi məlumatların qorunmasında əsas məqam kadr xidməti işçilərinin funksiyalarının aydın tənzimlənməsi və buna uyğun olaraq sənədlərin, işlərin, kartların, fərdi uçot jurnallarının və məlumat bazalarının funksional dəstlərinin işçilər tərəfindən mülkiyyət hüququnun tənzimlənməsidir. Səlahiyyətsiz şəxslər kadr xidmətində iş proseslərini, sənədlərin, faylların və iş materiallarının tərtibi, işlənməsi, saxlanması və saxlanması texnologiyasını, xüsusən də formalar və ciddi hesabat sənədləri ilə bağlı məlumatları bilməməlidir.

Kənar dedikdə təkcə hücum edənlər və ya onların ortaqları deyil, həm də funksional vəzifələri kadrlar şöbəsinin işi ilə bağlı olmayan təşkilatın işçiləri nəzərdə tutulur. Bununla belə, hər bir işçi kadr xidmətinin funksiyalarını sənədləşdirərkən, xidmətin hesabat və arayış işini apararkən şəxsi məlumatlarından ehtimal edilən istifadə barədə yazılı şəkildə məlumatlandırılmalıdır. İşçinin şəxsi məlumatlarının istifadəsinə icazə verməmək hüququ var.

Kadrlar xidməti işçilərinin onlara həvalə edilmiş şəxsi məlumatlara və sənədlərə görə şəxsi məsuliyyəti haqqında müddəanı həyata keçirmək üçün təşkilatın rəhbəri bu xidmətin hər bir əməkdaşına informasiya dəstəyini təmin etmək üçün zəruri olan müəyyən sənədlər toplusunu təyin etmək barədə əmr verməlidir. vəzifə təlimatlarında göstərilən funksiyalar üçün xidmət işçilərinin giriş sxemi təsdiq edilməli və təşkilatın rəhbərliyi, struktur bölmələri kadr sənədlərinə, sadalanan vəzifəli şəxslərin və işçilərin şəxsi məlumatların təhlükəsizliyinə və məxfiliyinə görə məsuliyyət formaları müəyyən edilməlidir. .

Kadrlar xidmətinin əməkdaşının xidmətin hər hansı saxlanılan sənəd və materialları ilə tanış olmasına yol verilmir. Ayrı-ayrı işçilərin təşkilat işçilərinin iş qruplarına təyin edilməsi və kadrların işə götürülməsindən tutmuş sənədlərin saxlanmasına qədər bütün funksiyaları yerinə yetirməsi məqsədəuyğundur. Xidmət işçiləri arasında vəzifələrin yenidən bölüşdürülməsi zəruri olduqda (məsələn, onlardan biri xəstələndikdə, işdən çıxarıldıqda), dəyişikliklərin xarakterini, onların müddətini və müddətini tənzimləyən xidmət rəhbərinin müvafiq əmri verilməlidir. sənədlərə, fayllara və verilənlər bazalarına giriş sisteminə əlavələr.

Kadr sənədləri ilə işləyərkən, ilk növbədə, onun işlənməsi və saxlanmasının aşağıdakı spesifik xüsusiyyətlərinə riayət etməlisiniz.

Kadrlar haqqında əmrlər (təlimatlar) mühasibatlıq şöbəsində və ya məktəbəqədər təhsil müəssisəsi xidmətində deyil, kadrlar xidmətində tərtib edilməli, icra edilməli və saxlanmalıdır. Bu iş kadr xidmətinin konkret əməkdaşına və ya bir neçə işçiyə həvalə edilməlidir, məsələn, iri təşkilatlarda hər bir işçi işçi kateqoriyaları üzrə - menecerlər, mütəxəssislər, fəhlələr və s. üzrə sifarişlərlə məşğul ola bilər. Bu əmrlərin qeydiyyatı da aparılmalıdır. kadrlar xidmətinə keçirilib.

Anketlər, testlər və vəzifəyə namizədlərlə müsahibə ilə bağlı materialları işçinin şəxsi işində deyil, “Qətiyyətlə məxfidir” qeyd olunan xüsusi faylda yerləşdirmək məqsədəuyğundur. Bu, belə materialların işçinin şəxsi və mənəvi keyfiyyətlərini üzə çıxarması və onlarda olan məlumatların açıqlanması halında təcavüzkar üçün faydalı ola biləcəyi ilə izah olunur. İşləyən işçilərin sınaq nəticələrinin əks olunduğu materiallar, onların attestasiyalarının materialları müstəqil faylda formalaşdırılır və bu da ciddi məxfilik möhürünə malikdir.

İşçilərin şəxsi işlərinin sənədlərinin təhlükəsizliyinə xüsusi diqqət yetirilir. Şəxsi işlərin uçotu, formalaşdırılması, saxlanması, bağlanması və saxlanması üzrə əməliyyatlar işlərdə olan sənədlərin təhlükəsizliyinə şəxsən cavabdeh olan və digər işçilərin işlərinə girişi tənzimləyən kadr xidmətinin bir əməkdaşı tərəfindən həyata keçirilməlidir.

Sənəd şəxsi işdən qanuni olaraq çıxarıldıqda, işin inventarına belə bir hərəkətin əsasını və sənədin yeni yerini göstərən qeyd aparılır. Müsadirə edilməli olan sənədin surəti hazırlanır və götürülən sənədin yerinə verilir. İnventardakı işarə və surəti rəhbərin və kadr xidməti işçisinin imzası ilə təsdiqlənir. Şəxsi işdəki sənədlərin hər kəs tərəfindən dəyişdirilməsi qadağandır. Yeni, düzəliş edilmiş sənədlər əvvəllər işə daxil edilmiş sənədlərlə birlikdə yerləşdirilir.

Təşkilat rəhbərinin əmri tabeliyində olan işçilərin şəxsi işlərinin təşkilatın rəhbərliyinə təqdim edilməsi və ya təqdim edilməsi qaydasını müəyyən etməlidir. Bir qayda olaraq, şəxsi işlər ilə aşağıdakılar tanış ola bilərlər: təşkilatın rəhbəri - bütün şəxsi işləri ilə, onun müavinləri - rəhbərlik etdikləri bölmələrin şəxsi işləri ilə, struktur bölmələrinin rəhbərləri - işçilərin şəxsi işləri ilə. vahid.

Rəhbərlərin iş yerlərinə şəxsi işlərin verilməsinə, bir qayda olaraq, icazə verilmir. İş yerlərində şəxsi işlər yalnız birinci rəhbərə, onun kadrlar üzrə müavininə, müstəsna hallarda isə struktur bölmənin konkret rəhbərinin yazılı icazəsi ilə verilə bilər. İşlər (o cümlədən kadr xidmətinin rəhbərinə və ya onun yazılı icazəsi ilə xidmətin əməkdaşına) nəzarət kartındakı işarəyə qarşı verilir. İş gününün sonunda bütün fayllar onların saxlanmasına cavabdeh olan HR əməkdaşına qaytarılmalıdır.

Təşkilatın struktur bölmələrinin rəhbərləri kadr xidməti rəhbərinin icazəsi ilə yalnız bilavasitə tabeliyində olan işçilərin şəxsi işləri ilə (şəxsi işlər olmadıqda N T-2 formasının kartları ilə) tanış ola bilərlər. onlara; arayış-məlumat bazasına və digər kadr xidməti sənədlərinə daxil olmağa icazə verilmir. Fayllarla tanışlıq xidməti binalarda şəxsi işlərin təhlükəsizliyinə və idarə olunmasına cavabdeh olan işçinin nəzarəti altında aparılmalıdır. Tanışlıq faktı şəxsi işin nəzarət kartında qeyd olunur.

Təşkilatın işçisi yalnız şəxsi işi, əmək kitabçası və qeydiyyat kartları ilə tanış olmaq hüququna malikdir. O, şəxsi tərcümeyi-halına və sənədlərlə təsdiq edilmiş digər məlumatlarına dəyişiklik və əlavələr edilməsini tələb etmək hüququna malikdir. İşçinin şəxsi işi ilə tanış olması da nəzarət kartında qeyd olunur.

O. İvanov

Möhür üçün imzalanıb