Однако сегодня далеко не все компании, обрабатывающие персональные данные, осознают необходимость их защиты и до конца не понимают реальность и масштаб рисков невыполнения закона.
Так, статьей 13.12 Кодекса об административных правонарушениях предусмотрена ответственность за нарушение правил защиты информации – штраф от 10000 до 30000 тысяч рублей с конфискацией не сертифицированных средств защиты информации или административное приостановление деятельности на срок до 90 суток. Статьей 137 «Нарушение неприкосновенности частной жизни» Уголовного Кодекса предусмотрена ответственность в виде штрафа в размере заработной платы осужденного за 18 месяцев или ареста на 6 месяцев.
Построение системы защиты персональных данных в организации является сложным многоэтапным процессом, состоящим из следующих основных этапов: обследование, проектирование и внедрение. Распространённым случаем является то, что на этом организация-оператор останавливается, посчитав, что завершение проекта по созданию комплексной системы по защите персональных данных означает полное выполнение всех требований к безопасности. Однако это не так, поскольку кроме выполнения всех установленных требований необходимо обеспечить контроль их исполнения и необходимо постоянно совершенствовать систему исходя из результатов периодического анализа. Следует регулярно (не реже одного раза в год) проводить в организации-операторе процедуры мониторинга и анализа обеспечения безопасности персональных данных – внутренний аудит.
Аудит – систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев.
Аудит защиты информации позволит получить следующую информацию:
– соответствует ли система обработки и защиты персональных данных требованиям, предъявляемым законодательством;
– все ли процессы и системы обработки и защиты персональных данных эффективно реализованы.
Обработка и защита информации и персональных данных в организации выполняется в соответствии с ожиданиями, сформированными при проектировании и внедрении системы защиты персональных данных.
Критериями при мониторинге и анализе системы защиты информации могут быть:
1) Требования регулирующих органов (ФЗ «О персональных данных» № 152-ФЗ от 27 июля 2007 года с поправками от 25 июля 2011 года, руководящие и методические документы ФСТЭК России и ФСБ России и др.);
2) Требования внутренних организационно-распорядительных документов (приказов, положений, регламентов, инструкций и др.), регламентирующих обработку и защиту персональных данных в организации;
3) Требования корпоративных стандартов, технических заданий на системы и средства защиты информации;
4) Согласованные и документированные требования партнеров и клиентов.
Основными факторами, влияющими на эффективность аудиторской проверки, являются:
– наличие полной и актуальной информации о требованиях к системе обработки и защиты персональных данных, для чего необходимо регулярно отслеживать появление новых редакций руководящих документов, корректировок к ним, а также добиваться от представителей регулирующих органов разъяснений требований к обработке и защите персональных данных;
– обеспечение объективности результатов аудита. Необходимая объективность результатов аудита может быть обеспечена за счет исключения из группы, проводящей аудит, специалистов, осуществляющих создание и поддержку системы обработки и защиты персональных данных.
Аудит проводится посредством анализа документации, интервьюирования сотрудников, сбора доказательств и непосредственного наблюдения за проверяемыми процессами и событиями. Все выявленные несоответствия отражаются в отчете об аудите с приложенными к нему рекомендациями по улучшению системы защиты персональных данных.
Таким образом, аудиторская проверка позволит донести потребности компании в области защиты персональных данных до руководства, реалистично оценить сроки и стоимость реализации проекта, спрогнозировать возможные риски, своевременно их устранить, достойно подготовиться к встрече с проверяющими органами.
Белогубова Д.А., гр. 3171-21, науч. рук доц. Абранина Т.С.
Кадровый аудит режимов работы и отдыха
В последние годы в стране произошли радикальные сдвиги в общественно-политической и экономической жизни. В условиях экономических и социальных трудностей проблемы отношения людей к труду и отдыху, повышение эффективности труда и его качества становятся все более актуальными.
В процессе труда человек нуждается в периодическом кратковременном отдыхе для поддержания на определенном уровне своей работоспособности. Потребность в таком отдыхе индивидуальна, она зависит от здоровья человека, его психофизиологического состояния, возраста, пола, степени натренированности к выполнению той или иной работы. При организации совместного труда на предприятии вопрос о времени внутрипроизводственных периодов на отдых регламентирован, так как от этого зависят слаженность производственного процесса и затраты рабочего времени. Поэтому на предприятии в целом и в отдельных его подразделениях устанавливаются различные режимы труда и отдыха.
Режим труда и отдыха – это устанавливаемые для каждого вида работ порядок чередования периодов работы и отдыха и их продолжительность.
Рациональный режим – такое соотношение и содержание периодов работы и отдыха, при которых высокая производительность труда сочетается с высокой и устойчивой работоспособностью человека без признаков чрезмерного утомления в течение длительного времени. Такое чередование периодов труда и отдыха соблюдается в отрезки времени: в течение рабочей смены, суток, недели, года в соответствии с режимом работы предприятия[36 - HR-словарь // Управление персоналом [Электронный ресурс]. – Режим доступа: http://hrm.by/hr-terminyi-na-bukvu-r/rezhim-truda-i-otdyiha.html, свободный. – Проверено 2.04.12.].
Режим труда и отдыха включает в себя следующие элементы:
– продолжительность рабочей недели (пятидневная, шестидневная, с предоставлением выходных дней по скользящему графику, неполная рабочая неделя);
– продолжительность ежедневной работы (смены), в т.ч. неполного рабочего дня (смены);
– число рабочих смен в сутки и последовательность их чередования;
– время начала и окончания рабочего дня;
– время перерывов для отдыха и питания и других перерывов.
В правах сторон трудовых отношений определять границы рабочего времени, устанавливать начало рабочего дня, его окончание, время на обеденный перерыв, а также режим рабочего времени, посредством которого обеспечивается отработка установленной действующим законодательством нормы рабочего времени, устанавливать дополнительные, межсменные перерывы, регулировать вопросы переработки и сверхурочных работ. С вопросом рабочего времени тесно связан вопрос о времени отдыха, порядке предоставления ежегодных, а в том числе и ученических, административных отпусков.
Отпуск – временное освобождение от работы в будние дни на определённый период времени, для отдыха и иных социальных целей с сохранением прежней работы. В зависимости от трудового стажа, государства и места работы (частный сектор, госучреждения, особо опасные сферы деятельности, вооружённые силы и т. д.) условия и продолжительность отпуска могут существенно различаться, определяясь трудовым договором, контрактом, конституцией, законами федерального или регионального уровня[37 - Отпуск // Википедия [Электронный ресурс]. – Режим доступа: http://ru.wikipedia.org/wiki/%D0%9E%D1%82 %, свободный. – Проверено 2.04.12.].
Право на отпуск является частью правового статуса любого работника, оно выступает важной государственной гарантией и провозглашается международными актами в качестве неотъемлемого права человека. Предоставление работникам ежегодных отпусков направлено на компенсацию физической и моральной нагрузки, получаемой в процессе труда, восстановление сил и энергетического потенциала для дальнейшей работы, поддержания нормального состояния здоровья.
С переходом России к новым экономическим отношениям и реформированием трудового законодательства правовое регулирование ежегодных отпусков находится на совершенно новом этапе своего развития. Более того, с принятием Трудового кодекса РФ правовое регулирование отпусков претерпело существенные изменения, в том числе в связи с внесением в него поправок в 2006 г. Важным и долгожданным событием для России стала и ратификация в 2010 г. Конвенции МОТ № 132 «Об оплачиваемых отпусках» 1970 г. Присоединение к Конвенции не влечет для российского трудового законодательства каких-либо кардинальных изменений, но все же требует пересмотра отдельных норм ТК РФ.
Согласно части 1 статьи 122 ТК РФ и пункту 1 статьи 3 Конвенции оплачиваемый отпуск должен предоставляться работнику ежегодно.
Статья 5 Конвенции № 132 оговаривает, что для получения права на отпуск может потребоваться минимальный период работы, который не должен превышать шести месяцев. При этом в Конвенции ничего не говорится о непрерывности данного периода.
Статья 3 Конвенции № 132 предусматривает минимальную продолжительность ежегодного оплачиваемого отпуска, который ни в коем случае не может составлять менее трех рабочих недель за один год работы.
В России ежегодный основной отпуск рассчитывается не в неделях, а в календарных днях и в соответствии со статьей 115 ТК РФ составляет 28 дней. Причем режим рабочего времени значения не имеет. Таким образом, трудовое законодательство РФ устанавливает большую продолжительность ежегодного основного отпуска в сравнении с Конвенцией № 132.
Согласно статье 125 ТК РФ, работник вправе разделить ежегодный оплачиваемый отпуск на несколько частей, при условии, что одна из них будет не менее 14 календарных дней. Подобную норму содержит и Конвенция № 132 (пункт 2 статьи 8). При этом, пункт 1 статьи 9 рассматриваемого международного акта уточняет, что двухнедельная часть ежегодного оплачиваемого отпуска предоставляется и используется не позже чем в течение одного года, а остаток данного отпуска – не позже чем в течение 18 месяцев после окончания того года, за который предоставляется отпуск. Иными словами, остаток отпуска можно будет использовать в течение полутора лет[38 - Конвенция МОТ № 132 «Об оплачиваемых отпусках» вступает в силу, что изменится? [Электронный ресурс]. – Режим доступа: http://www.uckpa.ru/lawnews/lawdai/jur/12092011_6, свободный. – Проверено 2.04.12.]. Это положение вызывает необходимость внесения изменений в существующую форму заполнения графика отпусков. В соответствии с Конвенцией график отпусков должен быть дополнен дополнительной графой «Долги по отпускам».
Присоединение к Конвенции вызвало необходимость проводить на предприятиях процедуры мониторинга, анализа и совершенствования кадровой документации по режимам работы и отдыха – внутренний аудит.
Задачами такого аудита будут:
1. Определить обязательные для исполнения нормы Трудового Кодекса Российской Федерации при регулировании трудовых отношений;
2. Изучить современные источники правового регулирования ежегодных оплачиваемых отпусков в России, в том числе ратифицированную Конвенцию МОТ № 132;
3. Проанализировать порядок установления режимов работы и отдыха;
4. Подготовить программу поведения аудита;
5. Разработать алгоритм;
6. Разработать необходимые блоки контроля и проверки документов по режимам работы и отдыха;
7. Проанализировать итоги аудита;
8. Разработать рекомендации по итогам выборочного аудита.
Проведение аудита режимов труда и отдыха позволит руководству предприятия получить объективную оценку реального положения дел в этой области, выявить все случаи несоблюдения трудового законодательства, устранить эти нарушения, минимизировать риски, что подготовит предприятие к проверкам и контролю со сторону проверяющих органов.