Ответственность за нарушение правил работы с персональными данными

Отделу кадров целесообразно вести журнал учета, в который будут заноситься все факты ознакомления с персональными данными работников, а также информация о движении документов, включенных в личные дела, и самих личных дел. В таком журнале должны быть предусмотрены графы о дате выдачи и возврата документов (личных дел), сроке пользования, цели выдачи, наименовании выдаваемых документов (личных дел). В присутствии лица, возвращающего личное дело, обязательно сверяется по описи наличие всех документов. Лица, получающие документы (личные дела) во временное пользование, не имеют права делать в них пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Принципиальным требованием правил работы с персональными данными является установление личной ответственности сотрудников за неразглашение доверенной им конфиденциальной информации, за сохранность сведений, а также их носителей. В этой связи лицо, получившее право работать с персональными данными, должно принять на себя ряд обязательств: не разглашать доверенные им сведения, неукоснительно выполнять правила работы с персональными данными, обеспечивать надежное хранение носителей конфиденциальной информации.

Также следует незамедлительно сообщать уполномоченным лицам об утрате ключей, печатей и штампов, давать устные и письменные объяснения по фактам нарушения правил. В число ограничений входят также запреты на совершение определенных действий, могущих повлечь утрату носителей информации или разглашение конфиденциальных сведений, в частности, на передачу персональных данных лицам, не имеющим к ним доступа; на вынос документов из рабочего помещения без служебной необходимости и пр. Перечень указанных обязательств целесообразно отразить в Положении либо должностной инструкции специалиста.

Более того, в соответствии с частью 3 статьи 57 Трудового кодекса условие о неразглашении работником сведений, составляющих охраняемую законом тайну, ставшую ему известной в связи с исполнением своих должностных обязанностей, может быть включено в трудовой договор с таким специалистом. В этом случае на работодателе лежит обязанность ознакомить работника с локальными нормативными актами предприятия, содержащими правила обработки и защиты персональных данных. Именно такая процедура доступа может быть использована в отношении специалистов кадровых служб.

Система защиты конфиденциальных сведений должна предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также соблюдение правил работы с ними. Как показывает опыт, применение только административных мер не гарантирует полноценную охрану конфиденциальных сведений. Надежность защиты зависит во многом от расстановки и внутрифирменного развития сотрудников. Кроме того, персонал - один из главных каналов утечки информации. Деятельность кадровой службы должна быть направлена на воспитание работников, допущенных к работе с персональными данными, выработку навыков работы с носителями конфиденциальной информации, закрытие бытовых каналов утечки данных. Здесь могут быть полезны индивидуальная беседа, предупреждение об ответственности, разъяснение юридических последствий разглашения информации.10

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1.3 Общие требования при  обработке персональных данных  работника и гарантии их защиты.

Конфиденциальность, сохранность и защита персональных данных в отделе кадров обеспечивается отнесением их к служебной тайне. Работа с персональными данными должна быть организована в строгом соответствии с требованиями к обработке и хранению информации ограниченного доступа. Режим конфиденциальности персональных данных снимается в случаях обезличивания их или по истечении 75 - лет срока хранения, если иное не определено законом.

Персональные данные содержатся в документации отдела кадров. Это:

- документы, связанные с подбором  персонала;

- документы, сопровождающие процесс  оформления трудовых правоотношений  гражданина (при решении вопросов  о приеме на работу, переводе, увольнении и т.п.);

- материалы анкетирования, тестирования, проведения собеседований с кандидатами  на должность;

- трудовые договоры, соглашения, устанавливающие  взаимоотношения сторон;

- подлинники и копии приказов  по личному составу;

- личные дела и трудовые книжки  сотрудников;

- дела, содержащие основания к  приказам по личному составу;

- дела, содержащие материалы по  повышению квалификации и переподготовке  сотрудников, их аттестации, служебным  расследованиям и т.п.;

- справочно-информационный банк  данных по персоналу - учетно- справочный  аппарат (картотеки, журналы, базы данных  и др.);

- подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству предприятия, руководителям структурных подразделений  и служб;

- копии отчетов, направляемых в  государственные органы статистики, налоговые инспекции, вышестоящие  органы управления, муниципальные  и другие учреждения.

При работе с персональными данными сотрудниками отделов кадров должны соблюдаться следующие основополагающие принципы по их защите:

· личная ответственность руководства предприятия и работников отдела кадров за сохранность и конфиденциальность сведений о работе отдела и персональных данных, а также о носителях этой информации;

· разбиение (дробление) персональных данных между разными руководителями предприятия и работниками отдела кадров;

· наличия четкой разрешительной системы доступа руководства предприятия и работников отдела кадров к документам, содержащим персональные данные;

· проведения регулярных проверок наличия традиционных и электронных документов, дел и баз данных у работников отдела и кадровых документов в подразделениях предприятия. Главным здесь является четкая регламентация функций работников отдела кадров по разным видам документов, дел, карточек, журналов персонального учета и баз данных. Посторонние лица не должны знать распределение этих функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе кадров. Под посторонними лицами понимаются не только злоумышленники или их сообщники, но и сотрудники предприятия, функциональные обязанности которых не связаны с работой отдела кадров.

Следует также учитывать, что работник отдела кадров не должен быть осведомлен о порядке работы других сотрудников отдела. Для этого первый руководитель предприятия должен издать приказ о закреплении за работниками отдела кадров определенных массивов документов, необходимого для информационного обеспечения функций, указанных в должностных инструкциях. Должна также быть схема доступа работников отдела кадров и руководящего состава предприятия, структурных подразделений к документам отдела, введена личная ответственность указанных должностных лиц и работников за сохранность и конфиденциальность персональных данных. Не допускается, чтобы работник отдела кадров мог знакомиться с любыми документами и материалами отдела. Целесообразно, чтобы каждый из них был закреплен за определенной группой персонала предприятия и выполнял весь объем функций от подбора кандидата на вакантную должность до хранения документации. В случае необходимости перераспределения обязанностей среди работников отдела (например, при болезни одного из них) издается соответствующее распоряжение начальника отдела кадров, в котором регламентируется характер изменений, их срок и дополнения к документам, делам и базам данных.

Следует соблюдать следующие особенности обработки и хранения документов. Приказы по личному составу составляются, оформляются и хранятся в отделе кадров, а не в делопроизводственной службе. Операции по оформлению, формированию, ведению и хранению личных дел выполняются одним работником отдела кадров, который несет личную ответственность за сохранность документов в делах и доступ к делам других работников.

Материалы, связанные с анкетированием, тестированием, проведением собеседований с кандидатами на должность, помещаются не в личное дело сотрудника, а в специальное дело с грифом "Строго конфиденциально". Объясняется это тем, что подобные материалы раскрывают личные и моральные качества сотрудника и могут при разглашении содержащихся в них сведений стать полезными злоумышленнику. Материалы тестирования работающих сотрудников, их аттестации формируются в отдельное дело также с грифом строгой конфиденциальности. В случае изъятия из личного дела документа в описи дела производится запись с указанием основания для его изъятия и нового местонахождения. С документа, подлежащего изъятию, снимается копия, которая подшивается на место изъятого документа. Отметка в описи и копия заверяются начальником и работником отдела кадров. Замена документов в личном деле кем бы то ни было запрещена. Новые исправленные документы помещаются с ранее подшитыми.

Приказом первого руководителя предприятия должен быть установлен порядок выдачи и ознакомления руководящего состава с личными делами сотрудников.

Личные дела могут выдаваться только на рабочие места первого руководителя предприятия, его заместителя по кадрам и начальника отдела (управления) кадров. Дела выдаются (в том числе начальнику отдела кадров или при наличии письменного разрешения - работнику отдела) под роспись в контрольной карточке. При возврате дела тщательно проверяется сохранность документов, отсутствие повреждений и включений в дело других документов или их подмены. Просмотр дела производится в присутствии руководителя. Передача личных дел руководителям через их секретарей или референтов не допускается.

Другие руководители предприятия могут знакомиться с личными делами (или при отсутствии личных дел - карточками формы Т-2 (Приложение 1)) только непосредственно подчиненных им сотрудников; к справочно-информационному банку данных и другой документации отдела кадров они не допускаются. Ознакомление с делами осуществляется в помещении отдела кадров под наблюдением работника, ответственного за сохранность и ведение личных дел. Факт ознакомления фиксируется контрольной карточке личного дела. Работник предприятия вправе ознакомиться только со своим личным делом и трудовой книжкой, учетными карточками, отражающими его персональные данные. Факт ознакомления с личным делом также фиксируется в контрольной карточке.

Не менее строгого контроля требует работа со справочно-информационным банком данных по персоналу предприятия (карточками, журналами и книгами персонального учета сотрудников). Отчетная и справочная работа отдела формирует каналы несанкционированного получения и незаконного использования персональных данных. В связи с этим первым руководителем устанавливается: кто, когда, какие сведения и с какой целью может запрашивать в отделе кадров. И, что особенно важно - определяется порядок дальнейшего хранения сведений, работа с которыми закончена: где эти сведения будут находиться, кто несет ответственность за их сохранность и конфиденциальность.

На документах, выходящих за пределы отдела кадров, может ставиться гриф "конфиденциально" или "для служебного пользования". В отделе кадров обязательно остаются копии всех отчетных и справочных документов. Целесообразно, чтобы подлинники этих документов после минования в них надобности возвращались в отдел кадров для включения в дело вместо хранящейся там копии.

В структурных подразделениях предприятия могут быть следующие документы, содержащие персональные данные:

· журнал табельного учета с указанием должностей, фамилий и инициалов сотрудников (находится у работника, ведущего табельный учет, - табельщика),

· штатное расписание (штатный формуляр) подразделения, в котором может дополнительно указываться, кто из сотрудников занимает ту или иную должность, вакантные должности (находится у руководителя подразделения),

· дело с выписками из приказов по личному составу, касающимися персонала подразделения (находится у табельщика).

Руководитель подразделения может иметь список сотрудников с указанием основных биографических данных каждого из них (год рождения, образование, местожительство, домашний телефон и др.). Все перечисленные документы следует хранить в соответствующих делах, включенных в номенклатуру дел и имеющих гриф ограничения доступа. Не реже одного раза в год работники отдела кадров проверяют наличие этих дел в подразделениях, их комплектность, правильность ведения и уничтожения.

В отделе кадров дела, картотеки, учетные журналы и книги учета хранятся в рабочее и нерабочее время в металлических запирающихся и опечатываемых шкафах. Работникам не разрешается при любом по продолжительности выходе из помещения оставлять какие-либо документы на рабочем столе или оставлять шкафы незапертыми. У каждого работника должен быть свой шкаф для хранения закрепленных за ним дел и картотек. Трудовые книжки хранятся в сейфе. Оставлять на рабочем столе в нерабочее время документы, картотеки, служебные записи и другие материалы категорически запрещается.

Помимо операций с документами работники отдела кадров значительную часть времени тратят на прием посетителей. Этот вид работы также должен быть строго регламентирован, т.к. посетители могут представлять определенную угрозу информационной безопасности отдела кадров и физической безопасности работников отдела. Приемные часы должны быть разными для сотрудников предприятия и лиц, не входящих в эту категорию. В часы приема посетителей работники отдела не должны выполнять функции, не связанные с приемом, вести служебные и личные переговоры по телефону. На столе работника, ведущего прием, не должно быть никаких документов, кроме тех, которые касаются данного посетителя. Ответы на вопросы даются только лично тому лицу, которого они касаются. Не допускается отвечать на вопросы, связанные с передачей персональной информации, по телефону или факсу. Ответы на правомерные письменные запросы других учреждений и организаций даются в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных сведений.

Подбор персонала для работы в отделе кадров ведется с учетом требований, которые разработаны для должностей, связанных с владением и обработкой конфиденциальных сведений и документов. К ним можно отнести: анализ личностных и моральных качеств претендентов на должность; подписание обязательства о неразглашении защищаемых сведений; оформление приказом первого руководителя предприятия допуска к конфиденциальной информации; обучение правилам защиты конфиденциальной информации и регулярное инструктирование по отдельным вопросам защиты; контроль соблюдения действующих инструкций по работе с конфиденциальными документами.