Персонал и данные персонала
Организация может набирать персонал и собирать информацию о персонале различными способами. Эти способы затрагивают и общение по электронной почте, в процессе которого собирается информация с WеЬ-узлов. Компании, которые занимаются продажей товаров и услуг, могут собирать данные о клиентах на основе заказов/входных сообщений или звонков в отдел обслуживания покупателей. Даже объявления о продаже или наведение справок потенциальными покупателями могут дать информацию об отдельном лице или компании. Независимо от того, каким образом приобретены эти данные, для каждого типа данных должны быть сформулированы правила, касающиеся использования этих данных.
Политика секретности и государственная политика в Соединенных Штатах
В то время, когда писалась эта книга, создатели государственной политики в Вашингтоне обсуждали практику сбора и обработки данных о персонале в течение цикла их деловой деятельности. В недавних сводках новостей Федеральная торговая комиссия (FTC — Federal Trade Commission) рекомендовала, чтобы конгресс одобрил законы, требующие раскрывать, каким образом компании используют информацию, которую собирают путем доступа к Web-узлам. Этот вопрос встал на повестку после выяснения того, что многие Web-узлы не проводят политику секретности и не соблюдают правила информационной безопасности, описанные ниже.
В настоящее время директивы FTC о секретности представляют собой всего лишь рекомендации и не являются частью государственного законодательства. По просьбе FTC Конгресс рассмотрел эти предложения. По причине множества спорных вопросов прогнозируется, что обсуждение этих предложений затянется очень надолго.
Один из таких вопросов заключается в том, каким образом внедрять политику безопасности, когда ваша организация функционирует вне страны. Компании США, которые занимаются бизнесом в Европе, например, должны соблюдать строгие правовые нормы, охраняющие неприкосновенность личной жизни в Германии и Скандинавии. Несмотря на то, что эти нормы могут быть непопулярными внутри вашей организации, при работе вне Соединенных Штатов следование им может оказаться очень полезным.
Подробная информация об этом содержится в Приложении Б.
Когда речь идет о соблюдении правил секретности, нужно установить, что не только организация должна обеспечивать соблюдение конфиденциальности информации, касающейся служащих или клиентов, но и сами служащие должны соблюдать права конфиденциальности организации. Правилами должно быть установлено, что все, что касается конфиденциальности, права собственности и другой подобной информации не может быть доступным без предварительного согласия.
Дать определение политики секретности не так легко. Поскольку правила представляют собой лишь указания, а не являются рабочими инструкциями, некоторые организации предпочитают определять, что необходимо защитить в рабочей документации. Один из наилучших способов разграничить эти понятия, заключается в том, чтобы выяснить, что должно быть включено в правила соблюдения секретности, и составить одну или несколько общих формулировок. Эти формулировки и являются правилами. Таким образом вопрос о том, как обрабатывать информацию, относится уже к области технологии.