Персональные данные как составная часть конфиденциальной информации

Правительство Российской Федерации установило требования и меры по защите  и обеспечению безопасности  персональных данных  при обработке  в АИС.5

Понятие персональных данных, их отграничение от другой информации

В Трудовом кодексе впервые появилась специальная глава, посвященная защите персональных данных работника (ст. 85-90). Работодатель всегда собирал данные о личности работника. Для этой цели использовались "Личный листок" и различные анкеты, а также письменные характеристики и т.д. Однако официальная правовая регламентация обработки этих данных, доступная работнику, отсутствовала.

В ст. 85 ТК и последующих статьях настоящей главы применительно к трудовым отношениям получили конкретизацию конституционные положения о праве каждого на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.6

В Трудовом кодексе под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.7

Легко заметить, что под это определение можно подвести любую информацию о работнике. И работодатели нередко собирают о сотруднике всю информацию, мотивируя это тем, что хотят иметь максимально полное представление о нем.

Довольно часто от работника требуют сообщить  информацию о его семейном положении и ближайших родственниках, о жилищных условиях, состоянии здоровья, о фактах привлечения к уголовной ответственности, о наличии постоянной регистрации по месту жительства и многое другое. Но такого рода информация никаким образом не относится к трудовой деятельности работника. Наоборот, тем самым работодатель переходит тонкую грань, отделяющую персональные данные от сведений, составляющих тайну частной жизни, личную или семейную тайну гражданина.

Среди документов и материалов, содержащих информацию, необходимую работодателю в связи с трудовыми отношениями, основное место занимают:

1) документы, предъявляемые  при заключении трудового договора ( ст. 65 ТК);

2) документы о составе  семьи работника, необходимые для  предоставления ему гарантий, связанных  с выполнением семейных обязанностей;

3) документы о состоянии  здоровья работника, если в соответствии  с законодательством он должен  пройти предварительный и периодические  медицинские осмотры;

4) документы, подтверждающие  право на дополнительные гарантии  и компенсации по определенным  основаниям, предусмотренным законодательством (об инвалидности, донорстве, нахождении  в зоне воздействия радиации  в связи с аварией на Чернобыльской  АЭС и др.);

5) документ о беременности  работницы и возрасте детей  для предоставления матери установленных  законом условий труда, гарантий  и компенсаций.

Среди персональных данных работника должны быть трудовой договор, приказ (распоряжение) о приеме на работу, приказы (распоряжения) об изменении условий трудового договора, его прекращении, а также приказы (распоряжения) о поощрениях и дисциплинарных взысканиях, примененных к работнику. В период действия трудового договора среди персональных данных работника должна находиться его трудовая книжка.8

Для того чтобы установить, в каком объеме работодатель вправе получать от работника информацию о его персональных данных, необходимо обратить внимание на очень важное ограничение - это целевой характер использования персональных данных. Обработка этого вида информации может производиться исключительно в целях, указанных в пункте 1 статьи 86 ТК РФ.9

 

Работа кадровой службы с персональными данными

В силу специфики своей деятельности обработкой персональных данных в организации занимается отдел кадров. Именно здесь "оседает" весь объем сведений о работниках. Вот почему процессы обработки, передачи и защиты конфиденциальной информации о работниках должны быть упорядочены, прежде всего, в этой службе.

Правила ведения конфиденциального делопроизводства должны применяться в первую очередь в отношении личных дел сотрудников, в которых содержатся персональные данные. Комплектация личных дел является наиболее сложной и ответственной работой, требует особой тщательности и аккуратности при оформлении. Каждое предприятие вправе самостоятельно решать вопрос о том, какие документы включать в состав личных. Работники отдела кадров должны помнить, что личные дела сотрудников должны храниться строго отдельно от всех других документов в закрывающихся шкафах или ящиках. Необходимо иметь в виду также то обстоятельство, что документы, включенные в состав личных дел, имеют разные сроки хранения. Для некоторых из них (приказов, личных карточек) установлены продолжительные сроки хранения и обязательное требование по их передаче в государственные архивы.

Отделу кадров целесообразно вести журнал учета, в который будут заноситься все факты ознакомления с персональными данными работников, а также информация о движении документов, включенных в личные дела, и самих личных дел. В таком журнале должны быть предусмотрены графы о дате выдачи и возврата документов (личных дел), сроке пользования, цели выдачи, наименовании выдаваемых документов (личных дел). В присутствии лица, возвращающего личное дело, обязательно сверяется по описи наличие всех документов. Лица, получающие документы (личные дела) во временное пользование, не имеют права делать в них пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Принципиальным требованием правил работы с персональными данными является установление личной ответственности сотрудников за неразглашение доверенной им конфиденциальной информации, за сохранность сведений, а также их носителей. В этой связи лицо, получившее право работать с персональными данными, должно принять на себя ряд обязательств: не разглашать доверенные им сведения, неукоснительно выполнять правила работы с персональными данными, обеспечивать надежное хранение носителей конфиденциальной информации.

Также следует незамедлительно сообщать уполномоченным лицам об утрате ключей, печатей и штампов, давать устные и письменные объяснения по фактам нарушения правил. В число ограничений входят также запреты на совершение определенных действий, могущих повлечь утрату носителей информации или разглашение конфиденциальных сведений, в частности, на передачу персональных данных лицам, не имеющим к ним доступа; на вынос документов из рабочего помещения без служебной необходимости и пр. Перечень указанных обязательств целесообразно отразить в Положении либо должностной инструкции специалиста.

Более того, в соответствии с частью 3 статьи 57 Трудового кодекса условие о неразглашении работником сведений, составляющих охраняемую законом тайну, ставшую ему известной в связи с исполнением своих должностных обязанностей, может быть включено в трудовой договор с таким специалистом. В этом случае на работодателе лежит обязанность ознакомить работника с локальными нормативными актами предприятия, содержащими правила обработки и защиты персональных данных. Именно такая процедура доступа может быть использована в отношении специалистов кадровых служб.

Система защиты конфиденциальных сведений должна предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также соблюдение правил работы с ними.

Как показывает опыт, применение только административных мер не гарантирует полноценную охрану конфиденциальных сведений. Надежность защиты зависит во многом от расстановки и внутрифирменного развития сотрудников. Кроме того, персонал - один из главных каналов утечки информации. Деятельность кадровой службы должна быть направлена на воспитание работников, допущенных к работе с персональными данными, выработку навыков работы с носителями конфиденциальной информации, закрытие бытовых каналов утечки данных. Здесь могут быть полезны индивидуальная беседа, предупреждение об ответственности, разъяснение юридических последствий разглашения информационных дел.

 

Общие требования при обработке персональных данных работника и гарантии их защиты.

Конфиденциальность, сoхранность и защита персoнальных данных в oтделе кадров обеспечивается отнесением их к служебной тайне. Работа с персональными данными должна быть организована в строгом соответствии с требованиями к обработке и хранению информации ограниченного доступа. Режим конфиденциальности персональных данных снимается в случаях обезличивания их или по истечении 75 – лет срока хранения, если иное не определено законом.

Персональные данные содержатся в документации отдела кадров. Это:

• документы, связанные с подбором персонала;

• документы, сопровождающие процесс оформления трудовых правоотношений гражданина (при решении вопросов о приеме на работу, переводе, увольнении и т.п.);

• материалы анкетирования, тестирования, проведения собеседований с кандидатами на должность;

• трудовые договоры, соглашения, устанавливающие взаимоотношения сторон;

• подлинники и копии приказов по личному составу;

• личные дела и трудовые книжки сотрудников;

• дела, содержащие основания к приказам по личному составу;

• дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям и т.п.;

• справочно-информационный банк данных по персоналу - учетно-справочный аппарат (картотеки, журналы, базы данных и др.);

• подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству предприятия, руководителям структурных подразделений и служб копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления, муниципальные и другие учреждения.

• При работе с персональными данными сотрудниками отделов кадров должны соблюдаться следующие основополагающие принципы по их защите:

• личная ответственность руководства предприятия и работников отдела кадров за сохранность и конфиденциальность сведений о работе отдела и персональных данных, а также о носителях этой информации;

• разбиение (дробление) персональных данных между разными руководителями предприятия и работниками отдела кадров;

• наличия четкой разрешительной системы доступа руководства предприятия и работников отдела кадров к документам, содержащим персональные данные;

• проведения регулярных проверок наличия традиционных и электронных документов, дел и баз данных у работников отдела и кадровых документов в подразделениях предприятия.

Главным здесь является четкая регламентация функций работников отдела кадров по разным видам документов, дел, карточек, журналов персонального учета и баз данных. Посторонние лица не должны знать распределение этих функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе кадров. Под посторонними лицами понимаются не только злоумышленники или их сообщники, но и сотрудники предприятия, функциональные обязанности которых не связаны с работой отдела кадров. Следует также учитывать, что работник отдела кадров не должен быть осведомлен о порядке работы других сотрудников отдела.

Для этого первый руководитель предприятия должен издать приказ о закреплении за работниками отдела кадров определенных массивов документов, необходимого для информационного обеспечения функций, указанных в должностных инструкциях. Должна также быть схема доступа работников отдела кадров и руководящего состава предприятия, структурных подразделений к документам отдела, введена личная ответственность указанных должностных лиц и работников за сохранность и конфиденциальность персональных данных.

Не допускается, чтобы работник отдела кадров мог знакомиться с любыми документами и материалами отдела. Целесообразно, чтобы каждый из них был закреплен за определенной группой персонала предприятия и выполнял весь объем функций от подбора кандидата на вакантную должность до хранения документации.

В случае необходимости перераспределения обязанностей среди работников отдела (например, при болезни одного из них) издается соответствующее распоряжение начальника отдела кадров, в котором регламентируется характер изменений, их срок и дополнения к документам, делам и базам данных.

Следует соблюдать следующие особенности обработки и хранения документов.

Приказы по личному составу составляются, оформляются и хранятся в отделе кадров, а не в делопроизводственной службе.

Операции по оформлению, формированию, ведению и хранению личных дел выполняются одним работником отдела кадров, который несет личную ответственность за сохранность документов в делах и доступ к делам других работников.