Персональные данные и их документирование

Под особым контролем должны находиться операции по проставлению в трудовых книжках, на справках и других документах печатей и штампов. Целесообразно, чтобы эти операции производились только руководителем кадровой службы. В противном случае может возникнуть опасность несанкционированного использования печатей и штампов. Одновременно руководитель службы должен контролировать правильность оформления документов.

При автоматизированной обработке кадровой информации не рекомендуется данную систему включать в локальную сеть организации.

В кадровой службе локальная сеть (или единичные компьютеры) должна быть снабжена необходимыми средствами программно-аппаратной и криптографической защиты информации, регламентирована жесткой системой разграничения доступа работников службы к обрабатываемой и хранимой информации. В локальную сеть может быть включена рабочая станция (автоматизированное рабочее место) руководителя.

Дела, папки с документами, картотеки, машиночитаемые документы, учетные журналы и книги учета должны храниться в кадровой службе в рабочее и нерабочее время в металлических постоянно запертых шкафах. У каждого работника должен быть свой шкаф для хранения закрепленных за ним массивов документов. Трудовые книжки должны храниться в сейфе руководителя кадровой службы, там же печати, штампы, бланки документов, ключи от рабочих шкафов работников.

Вход в кадровую службу может быть только один. Для ожидающих приема посетителей целесообразно выделить дополнительное помещение за пределами основных помещений службы.

Помещение для размещения шкафов может не иметь окон и оборудуется эффективными техническими средствами пожаротушения. Помещения, шкафы с документацией кадровой службы и компьютеры обеспечиваются охранной сигнализацией. Входная дверь кадровой службы должна быть двойной металлической, окна защищаются решетками. Если кадровая служба использует в работе компьютеры, то помещения службы должны быть оборудованы средствами защиты от технической разведки.

По окончании рабочего дня все двери (в том числе внутренние) запираются на надежные замки и опечатываются личной печатью руководителя кадровой службы. Электропитание помещений кадровой службы отключается на центральном щите в помещении охран. Ключи от дверей руководителем службы сдаются работнику охраны под роспись в специальном журнале. Оттиск печати обычно делается на пластилине, в специальной выемке, чтобы печать невозможно было снять острым предметом и затем восстановить.

Одновременно включается и проверяется надежность средств охранной сигнализации.

Сдача под охрану и вскрытие помещений кадровой службы разрешаются только ее руководителю. Перед вскрытием проверяется сохранность и номера печатей, целостность замков и контрольного шнурка (нити).

При обнаружении каких-либо попыток проникновения в помещение оно не вскрывается. Составляется акт о выявленной попытке, одновременно об этом факте докладывается лично руководителю и ответственному за безопасность. Дальнейшие действия санкционируются руководителем.

Вскрытие рабочих шкафов в отсутствии работника, отвечающего за хранящуюся там документацию, допускается руководителем кадровой службы в присутствии двух работников этой службы. О вскрытии составляется акт с обоснованием причины вскрытия. Акт подписывается указанными лицами. После выполнения необходимых действий шкаф запирается и опечатывается печатью руководителя кадровой службы.

При явке на рабочее место сотрудника, отвечающего за хранящуюся в шкафу документацию, им производится проверка наличия документов, дел и других материалов. Уборка помещения службы осуществляется под наблюдением руководителя кадровой службы.

При пожарах, авариях водопроводной и тепловой сети документация кадровой службы должна быть эвакуирована в безопасное место и обеспечена ее охрана. В условиях возникновения сложных экстремальных ситуаций (массовых стихийных бедствий, военных действий, террористических актов и других подобных событий) и отсутствия возможности эвакуировать чистые бланки трудовых книжек и вкладышей они уничтожаются по акту путем сожжения. В акте указывается только количество книжек и вкладышей, по возможности - их серии и номера.

В этих же условиях трудовые книжки работников могут быть выданы им под роспись в книге учета движения трудовых книжек и вкладышей к ним.

Вся остальная кадровая документация должна быть эвакуирована в первую очередь, а при отсутствии такой возможности - уничтожена (кроме дел с подлинниками приказов по личному составу и книги учета движения трудовых книжек и вкладышей к ним). Для эвакуации документов в кадровой службе постоянно должна находиться необходимая надежная тара (непромокаемые мешки, контейнеры, чемоданы). За кадровой службой заранее должна быть закреплена автомашина.

Организационные и технологические аспекты защиты персональных данных в кадровой службе могут найти  отражение в двух регламентирующих документах ООО «Гранд Тур».

Прежде всего, должно быть разработано положение о персональных данных работников, в котором целесообразно четко определить конкретные обязанности руководителей и работников в части использования этих данных в служебных целях. Функциональные обязанности этих лиц следует связать с составом передаваемых им персональных данных. Пользование другими данными им не разрешается. Положение должно содержать схему распределения доступа к персональным данным, состав должностных лиц, дающих разрешение на ознакомление с ними и несущих за это ответственность.

Положением должна быть определена форма обязательства указанных лиц за сохранность персональных данных и их конфиденциальность. Одновременно регламентируется порядок ознакомления работников со своими персональными данными, документами и учетными формами, в которых эти данные фиксируются, порядок взаимоотношений кадровой службы и работника по поводу сбора, документирования, использования, актуализации, уничтожения и хранения его персональных данных.

Во-вторых, должна быть составлена инструкция, отражающая этапы, процедуры и методы традиционной или автоматизированной технологии обработки и хранения персональных данных, методы и средства документирования данных и формирования баз данных.

В частности, в инструкции следует закрепить технологическую цепочку составления и оформления приказов и иных кадровых документов, технологические процедуры и операции их хранения, регламентирован порядок формирования, ведения и хранения личных дел работников, ведения и хранения трудовых книжек работников.

Следует тщательно определить условия включения документов в личные дела, правила ведения описи документов личного дела, изъятия документов из личного дела, выдачи документов на рабочие места руководителей, проверки сохранности личных дел и документов личного дела.

Особое внимание в инструкции следует обратить на организацию и документирование процедур тестирования и анкетирования кандидатов на должность и работников, проведения собеседований и аттестации, порядка ознакомления этих лиц с материалами психологического отбора.

В инструкции должна быть определена технология формирования и ведения традиционных или автоматизированных справочно-информационных систем (картотек, журналов, баз данных), обеспечивающих поисковые, учетные и отчетные функции при работе сотрудников кадровой службы с персональными данными работников. Установлено, в какие документы и учетные формы следует ввести необходимые зоны и графы для отражения факта ознакомления работников со своими персональными данными.

Говоря о технологии защиты информации в кадровой службе, необходимо учитывать, что помимо операций с документами работники отдела кадров значительную часть времени тратят на прием посетителей.

Важно, чтобы прием посетителей осуществлялся только в те часы, которые ежедневно выделяются для этой цели. В другое время в помещении кадровой службы не могут находиться посторонние лица, в том числе работники учреждения.

Целесообразно, чтобы приемные часы были разными для работников Учреждения и лиц, не входящих в эту категорию. Подобное разграничение необходимо ввиду того, что в числе последней группы лиц может быть злоумышленник, который будет прослушивать переговоры работников, знакомиться с работниками, их привычками, чертами характера, что в последующем может стать основой для формирования канала несанкционированного доступа к ценной информации.

Прием посетителей должен быть организован таким образом, чтобы в помещении службы не было лиц, ожидающих приема. Не должны возникать так называемые «живые очереди». Лица, ожидающие приема, всегда подсознательно или умышленно прослушивают переговоры работника кадровой службы и посетителя. Злоумышленник может эти переговоры записывать с помощью диктофона или миниатюрной видеокамеры.

Ответы на вопросы даются только лично тому лицу, которого они касаются.

При выдаче справки с места работы необходимо удостовериться в личности работника, которому эта справка выдается. Не разрешается выдавать ее родственникам или сослуживцам лица, которому требуется справка. Заполненный бланк справки подписывается руководителем кадровой службы. Передает справку на подпись работник службы, а не посетитель. Одновременно руководитель службы ставит на справке печать. За получение справки работник расписывается в журнале учета выдачи справок.

Ответы на правомерные письменные запросы других учреждений и организаций даются с разрешения первого руководителя и только в письменной форме и том объеме, который позволяет не разглашать излишний объем персональных сведений. По возможности персональные данные обезличиваются.

В помещении кадровой службы в часы приема посторонних лиц может находиться работник службы безопасности. Целесообразно также наличие сигнализации, оповещающей работников этой службы о необходимости немедленно вмешаться в сложившуюся ситуацию. На столе работника кадровой службы не должно быть тяжелых предметов: подставок под календарь, пепельниц и т. п.

В целях удобного доступа посетителей в кадровую службу помещения службы должны располагаться на первом этаже, поблизости от входа в здание. В часы приема лиц, не являющихся работниками учреждения, вход в отдел должен быть свободным для всех желающих.

Выводы по главе: Персональные данные работника нуждаются в серьезной защите, т.к. на сегодняшний день в отношении человека применяются множество разнообразных технических устройств сбора и технологий обработки данных о людях. В связи с  этим, возросла возможность злоупотреблений, связанных с использованием собранной и накопленной информации о человеке. Это создает угрозу правам и законным интересам человека.

Порядок функционирования кадровой службы должен быть подчинен решению задач обеспечения безопасности персональных сведений, их защиты от множества видов угроз, которые может создать злоумышленник, чтобы завладеть этими сведениями и использовать их в противоправных целях.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ЗАКЛЮЧЕНИЕ

 

Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация о персональных данных человека — товар и орудие преступления в руках мошенников, за которые идет самая настоящая война. Кадровик — главный в деле сохранности персональных данных. Именно в кадровой службе человек отдает свои персональные данные, где работа с ними должна быть осуществлена в соответствии с законом, направленным на обеспечение всех необходимых мер по защите информации.

Обязательными для работодателя являются документы, устанавливающие порядок обработки персональных данных, а также документы об их правах и обязанностях в этой области.

Каждое учреждение должно обеспечить защиту персональных данных своих сотрудников и принять все необходимые меры во избежание следующих правонарушений:

- кража персональных данных;

- изменение;

- блокирование;

- копирование;

- разглашение информации и другие незаконные действия.

Поскольку под понятие «персональные данные» попадают такие данные о человеке, как фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, информация о доходах и многое другое – система защиты персональных данных нужна фактически любой организации. В случае нарушения защиты персональных данных учреждение может быть привлечено к судебному разбирательству (вплоть до приостановления действий, аннулирования соответствующих лицензий), а виновные лица – к гражданской, уголовной, административной, дисциплинарной ответственности.

Понимая важность и ценность информации о человеке, а также заботясь о соблюдении прав своих граждан, государство требует от организаций и физических лиц обеспечить надежную защиту персональных данных. Законодательство Российской Федерации в области персональных данных основывается на Конституции РФ и международных договорах Российской Федерации и состоит из Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», других федеральных законов, определяющих случаи и особенности обработки персональных данных, отраслевых нормативных актов, инструкций и требований регуляторов.

До сих пор не вполне ясно представляется, что конкретно нужно делать для защиты персональных данных в соответствии с требованиями Федерального закона № 152 от 27.07.2006 года «О персональных данных», который предписывает в обязательном порядке обеспечить соответствующую защиту персональных данных, обрабатываемых в учреждении.