Особенности защиты персональных данных
При работе с кадровой документацией следует, прежде всего, соблюдать следующие специфические особенности ее обработки и хранения.
Приказы (распоряжения) по личному составу должны составляться, оформляться и храниться в кадровой службе, а не в бухгалтерии или службе ДОУ. Эту работу следует возложить на конкретного сотрудника кадровой службы или нескольких сотрудников, например, в крупных организациях каждый сотрудник может заниматься приказами по категориям персонала – руководителям, специалистам, рабочим и т.д. Регистрация этих приказов также должна быть передана в кадровую службу.
Материалы, связанные с анкетированием, тестированием, проведением собеседований с кандидатами на должность, целесообразно помещать не в личное дело сотрудника, а в специальное дело, имеющее гриф "Строго конфиденциально". Объясняется это тем, что подобные материалы раскрывают личные и моральные качества сотрудника и могут при разглашении содержащихся в них сведений стать полезными злоумышленнику. Материалы с результатами тестирования работающих сотрудников, материалы их аттестаций формируются в самостоятельное дело, также имеющее гриф строгой конфиденциальности.
Особое внимание обращается на сохранность документов личных дел работников. Операции но оформлению, формированию, ведению, закрытию и хранению личных дел должны выполняться одним работником кадровой службы, который несет личную ответственность за сохранность документов в делах и регламентированный доступ к делам других работников.
В случае правомочного изъятия из личного дела документа в описи дела производится запись с указанием основания для подобного действия и нового местонахождения документа. С документа, подлежащего изъятию, снимается копия, которая подшивается на место изъятого документа. Отметка в описи и копия заверяются росписью руководителя и работника кадровой службы. Замена документов в личном деле кем бы то ни было запрещается. Новые, исправленные документы помещаются вместе с ранее включенными в дело.
Приказом руководителя организации должен быть установлен порядок ознакомления или выдачи руководящему составу организации личных дел подчиненных работников. Как правило, знакомиться с личными делами могут следующие лица: руководитель организации – со всеми личными делами, его заместители – с личными делами курируемых ими подразделений, руководители структурных подразделений – с личными делами сотрудников подразделения.
Выдача личных дел на рабочие места руководителей, как правило, не допускается. Личные дела могут выдаваться на рабочие места только первого руководителя, его заместителя по кадрам и в исключительных случаях по письменному разрешению конкретному руководителю структурного подразделения. Дела выдаются (в том числе руководителю кадровой службы или при наличии его письменного разрешения – работнику службы) под отметку в контрольной карточке. В конце рабочего дня все дела должны быть возвращены ответственному за их хранение сотруднику кадровой службы.
Руководители структурных подразделений организации с разрешения руководителя кадровой службы могут знакомиться с личными делами (или при отсутствии личных дел – карточками формы № Т-2) только непосредственно подчиненных им сотрудников; к справочно-информационному банку данных и другой документации кадровой службы они не допускаются. Ознакомление с делами должно осуществляться в помещении службы под наблюдением работника, ответственного за сохранность и ведение личных дел. Факт ознакомления фиксируется в контрольной карточке личного дела.
Работник организации имеет право знакомиться только со своими личным делом, трудовой книжкой, учетными карточками, отражающими его персональные данные. Он имеет право потребовать внесение изменений и дополнений в свои анкетно-биографические и другие данные, подтвержденных документами. Факт ознакомления работника с личным делом также фиксируется в контрольной карточке.
Трудовые книжки всегда хранятся отдельно от личных дел. Особое внимание обращается на учет в бухгалтерии и кадровой службе чистых банков книжек и бланков листов-вкладышей. Руководитель кадровой службы должен строго контролировать, чтобы трудовая книжка нс оформлялась по просьбе работника на неучтенном бланке (как правило, фальсифицированном), чтобы от граждан не принимались трудовые книжки, оформленные на подобных бланках, или имеющие записи, сделанные с нарушениями соответствующей инструкции. Факт ознакомления работника с записями, производимыми в трудовой книжке, подтверждается его подписью в личной карточке № Т-2, в которой эти записи дублируются.
В соответствии с инструкцией кадровая служба должна периодически отчитываться перед бухгалтерией организации о расходовании бланков трудовых книжек и вкладышей. Испорченные бланки трудовых книжек и вкладышей списываются по акту и уничтожаются путем сожжения. На акт принято наклеивать вырезанные из уничтоженных бланков номера и серии.
Не полученные гражданами при увольнении трудовые книжки хранятся в отделе кадров отдельно от остальных книжек в течение двух лет, после чего сдаются в архив на 50-летнее хранение.
Под особым контролем должны находиться операции по проставлению в трудовых книжках, на справках и других документах оттисков печатей и штампов. Целесообразно, чтобы эти операции производились только руководителем кадровой службы, так как в противном случае может возникнуть опасность их несанкционированного использования. Одновременно руководитель службы контролирует правильность оформления документов.
Не менее пристального внимания требует работа со справочно-информационными базами данных по персоналу организации (картотеками, журналами и книгами персонального учета работников). За сохранность и конфиденциальность этого банка данных также должен отвечать специально назначенный сотрудник кадровой службы.
Учетная, отчетная и справочная работа кадровой службы наиболее часто формирует каналы несанкционированного получения и незаконного использования персональных данных. В связи с этим руководителем организации должно устанавливаться: кто, когда, какие сведения и с какой целью может запрашивать в отделе кадров. И, что особенно важно – определяется порядок дальнейшего хранения и уничтожения сведений, работа с которыми закончена: где эти сведения будут находиться, кто несет ответственность за их сохранность и конфиденциальность.
Передаваемые из кадровой службы руководителям отчетные и справочные сведения обязательно документируются в виде сводок, списков, справок и т.п. Устное сообщение сведений, как правило, использоваться не должно, за исключением случаев, когда запрашивается единичная информация, например, дата рождения работника, наличие правительственных наград и т.п.
Па документах, выходящих за пределы отдела кадров, может ставиться гриф "Конфиденциально" или "Для служебного пользования". В отделе кадров обязательно остаются копии всех плановых, аналитических, отчетных, справочных и иных документов. Целесообразно, чтобы подлинники этих документов после того как необходимость в них миновала возвращались в кадровую службу для включения в дело вместо хранящихся там копий.
В структурных подразделениях организации могут быть следующие документы, содержащие персональные данные: табель учета использования рабочего времени с указанием должностей, фамилий и инициалов работников (находится у сотрудника, ведущего табельный учет – табельщика), штатное расписание подразделения, в котором может дополнительно указываться, кто из сотрудников занимает ту или иную должность и получает надбавки, вакантные должности (находится у руководителя подразделения), дело с выписками из приказов по личному составу (или копии приказов (распоряжений)), касающимися персонала подразделения (находится у секретаря).
Руководитель подразделения может иметь список сотрудников с указанием основных биографических данных каждого из них (год рождения, образование, местожительство, домашний телефон, имя и отчество супруга и др.). Все перечисленные документы следует хранить в соответствующих делах, включенных в номенклатуру дел и имеющих гриф ограничения доступа. Не следует эти документы хранить в россыпи или записывать указанные сведения в настольных календарях. Не реже одного раза в год работники кадровой службы обязаны проверять наличие этих дел в подразделениях, их комплектность, правильность ведения и уничтожения.
При ведении компьютерной базы кадровой информации не рекомендуется ее и систему (связанные автоматизированные рабочие места кадровой службы) включать в локальную сеть организации. Внутри кадровой службы локальная сеть (или единичные компьютеры) должна быть снабжена необходимыми средствами программно-аппаратной и криптографической защиты информации, регламентирована жесткой системой разграничения доступа сотрудников службы к обрабатываемой и хранимой информации. В локальную сеть кадровой службы может быть включен компьютер (автоматизированное рабочее место) руководителя организации.