Особенности технологии защиты персональных данных
При работе с кадровой документацией следует, прежде всего, соблюдать следующие специфические особенности ее обработки и хранения. Приказы (распоряжения) по личному составу должны составляться, оформляться и храниться в отделе кадров, а не в службе документационного обеспечения управления (делопроизводственной службе). Эту работу следует возложить на отдельного сотрудника кадровой службы или нескольких сотрудников, например, в крупных организациях каждый сотрудник может заниматься приказами по категориям персонала - руководителям, специалистам, рабочим и т.д. Регистрация этих приказов также должна быть передана в кадровую службу.
Материалы, связанные с анкетированием, тестированием, проведением собеседований с кандидатами на должность, помещаются не в личное дело принятого сотрудника, а в специальное дело, имеющее гриф «Строго конфиденциально». Объясняется это тем, что подобные материалы раскрывают личные и моральные качества сотрудника и могут при разглашении, содержащихся в них сведений стать полезными злоумышленнику. Материалы с результатами тестирования работающих сотрудников, материалы их аттестаций формируются в другое дело, также имеющее гриф строгой конфиденциальности.
Особое внимание обращается на сохранность документов личных дел работников. Операции по оформлению, формированию, ведению, закрытию и хранению личных дел выполняются одним работником кадровой службы, который несет личную ответственность за сохранность документов в делах и регламентированный доступ к делам других работников. В случае правомочного изъятия из личного дела документа в описи дела производится запись с указанием основания для подобного действия и нового местонахождения документа. С документа, подлежащего изъятию, снимается копия, которая подшивается на место изъятого документа. Отметка в описи и копия заверяются росписью руководителя и работника кадровой службы. Замена документов в личном деле кем бы то ни было запрещается. Новые, исправленные документы помещаются вместе с ранее включенными в дело.
Приказом первого руководителя должен быть установлен порядок ознакомления или выдачи руководящему составу организации личных дел подчиненных работников. Как правило, знакомиться с личными делами могут: первый руководитель - со всеми личными делами, его заместители - с личными делами курируемых ими подразделений, руководители структурных подразделений - с личными делами сотрудников подразделения. Выдача личных дел на рабочие места руководителей, как правило, не допускается. Личные дела могут выдаваться на рабочие места только первого руководителя предприятия, его заместителя по кадрам и начальника отдела (управления) кадров и в исключительных случаях по письменному разрешению первого руководителя конкретному руководителю структурного подразделения. Дела выдаются (в том числе руководителю кадровой службы или при наличии его письменного разрешения - работнику службы) под роспись в контрольной карточке. В конце рабочего дня личное дело должно быть возвращено соответствующему сотруднику кадровой службы. При возврате дела тщательно проверяется сохранность документов, отсутствие повреждений документов и включения в дело других документов или подмены документов. Просмотр дела производится в присутствии руководителя. Передача личных дел руководителям через их секретарей или референтов не допускается. Руководители структурных подразделений организации с разрешения руководителя кадровой службы могут знакомиться с личными делами (или при отсутствии личных дел - карточками формы № Т-2) только непосредственно подчиненных им сотрудников; к справочно-информационному банку данных и другой документации кадровой службы они не допускаются. Ознакомление с делами осуществляется в помещении службы под наблюдением работника, ответственного за сохранность и ведение личных дел. Факт ознакомления фиксируется в контрольной карточке личного дела.
Работник организации имеет право знакомиться только со своим личным делом, трудовой книжкой, учетными карточками, отражающими его персональные данные. Он имеет право потребовать внесения изменений и дополнений в свои анкетно-биографические и другие данные, подтвержденных документами. Факт ознакомления работника с личным делом также фиксируется в контрольной карточке.
Ведение и обеспечение сохранности трудовых книжек. В сферу ответственности работника, осуществляющего ведение личных дел, входит работа с трудовыми книжками работников организации. Трудовые книжки всегда хранятся отдельно от личных дел. Особое внимание обращается на учет в бухгалтерии и кадровой службе чистых бланков книжек и бланков листов-вкладышей. Руководитель кадровой службы должен строго контролировать, чтобы трудовая книжка не оформлялась по просьбе работника на неучтенном бланке (купленном и, как правило, фальсифицированном), чтобы от граждан не принимались трудовые книжки, оформленные на подобных бланках или имеющие записи, сделанные с нарушениями соответствующей инструкции. Факт ознакомления работника с записями, произведенными в трудовой книжке, подтверждается его росписью в личной карточке Т-2, в которой эти записи дублируются. Роспись ставится против каждой записи. Кадровая служба должна ежемесячно отчитываться перед бухгалтерией организации о расходовании бланков трудовых книжек и вкладышей. Испорченные бланки трудовых книжек и вкладышей списываются по акту и уничтожаются путем сожжения. На акт наклеиваются вырезанные из бланков номера и серии. Не полученные гражданами при увольнении трудовые книжки хранятся в отделе кадров отдельно от остальных книжек в течение 2 лет, после чего сдаются в архив на 50-летнее хранение.
Под особым контролем должны находиться операции по проставлению в трудовых книжках, на справках и других документах печатей и штампов. Целесообразно, чтобы эти операции производились только руководителем кадровой службы, так как в противном случае может возникнуть опасность несанкционированного использования печатей и штампов. Одновременно руководитель службы контролирует правильность оформления документов. Чистые бланки справок подлежат обязательному учету. Они хранятся у руководителя кадровой службы и выдаются в дневной норме работнику, выдающему справки. По окончании приемных часов этот работник отчитывается перед руководителем службы об израсходованных бланках справок и сдает ему оставшиеся чистыми и испорченные бланки. Проставлять печати и штампы, а иногда и росписи на чистых бланках документов категорически запрещается.
Не менее пристального внимания требует работа со справочно-информационным банком данных по персоналу организации (картотеками, журналами и книгами персонального учета работников). За сохранность и конфиденциальность этого банка данных также должен отвечать специально назначенный сотрудник кадровой службы. Учетная, отчетная и справочная работа кадровой службы наиболее часто формирует каналы несанкционированного получения и незаконного использования персональных данных. В связи с этим первым руководителем организации устанавливается: кто, когда, какие сведения и с какой целью может запрашивать в отделе кадров. И что особенно важно, определяется порядок дальнейшего хранения сведений, работа с которыми закончена: где эти сведения будут находиться, кто несет ответственность за их сохранность и конфиденциальность. Передаваемые из кадровой службы руководителям отчетные и справочные сведения обязательно документируются в виде сводок, списков, справок и т.п. Устное сообщение сведений, как правило, использоваться не должно, за исключением случаев, когда запрашивается единичная информация, например: дата рождения работника, наличие правительственных наград и т.п. На документах, выходящих за пределы отдела кадров, может ставиться гриф «Конфиденциально» или «Для служебного пользования». В отделе кадров обязательно остаются копии всех плановых, аналитических, отчетных, справочных и иных документов. Целесообразно, чтобы подлинники этих документов после минования в них надобности возвращались в кадровую службу для включения в дело вместо хранящихся там копий.
В структурных подразделениях организации могут быть следующие документы, содержащие персональные данные:
• журнал табельного учета рабочего времени с указанием должностей, фамилий и инициалов работников (находится у сотрудника, ведущего табельный учет - табельщика);
• штатное расписание (штатный формуляр) подразделения, в котором может дополнительно указываться, кто из сотрудников занимает ту или иную должность;
• вакантные должности (находится у руководителя подразделения);
• дело с выписками из приказов по личному составу или копии приказов (распоряжений), касающихся персонала подразделения (находится у табельщика).
Руководитель подразделения может иметь список сотрудников с указанием основных биографических данных каждого из них (год рождении, образование, местожительство, домашний телефон, имя, отчество супруга и др.). Все перечисленные документы следует хранить в соответствующих делах, включенных в номенклатуру дел и имеющих гриф ограничения доступа. Нельзя эти документы хранить в россыпи или записывать указанные сведения на календарях, в личных записных книжках. Не реже одного раза в год работники кадровой службы обязаны проверять наличие этих дел в подразделениях, их комплектность, правильность ведения и уничтожения.
При автоматизированной обработке кадровой информации не рекомендуется данную систему (связанные автоматизированные рабочие места кадровой службы) включать в локальную сеть организации. Внутри кадровой службы локальная сеть (или единичные компьютеры) должна быть снабжена необходимыми средствами программно-аппаратной и криптографической защиты информации, регламентирована жесткой системой разграничения доступа сотрудников службы к обрабатываемой и хранимой информации. В локальную сеть кадровой службы может быть включена рабочая станция (автоматизированное рабочее место) первого руководителя организации.