Работа с документами

Персональные данные всегда относятся к категории конфиденциальной информации. Не допускается сбор, передача, уничтожение, хранение, использование  и распространение информации о  частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений  физического лица без его согласия, кроме как на основании судебного  решения. Режим конфиденциальности персональных данных снимается в  случаях обезличивания этих данных или по истечении 75 лет срока их хранения, если иное не определено законом.

Работа с персональными  данными должна осуществляться только в целях, по перечням и в сроки, которые необходимы для выполнения задач соответствующего держателя  или пользователя персональных данных, и устанавливается действующим  законодательством, лицензией или  договором. Персональные данные не могут  быть использованы в целях причинения имущественного и (или) морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан на основе использования информации об их социальном происхождении, расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

Субъект персональных данных самостоятельно решает вопрос передачи кому-либо сведений о себе за исключением  случаев, предусмотренных законодательством. В свою очередь, субъект имеет  право на доступ к персональным данным, относящимся к его личности, и  получение сведений о наличии  этих данных и самих данных. При  наличии оснований, подтвержденных соответствующими документами, субъект  персональных данных вправе требовать  от держателя эти данных внесения в них изменений и дополнений. С другой стороны, субъект обязан сообщить держателю об изменении  тех или иных персональных данных.

Конфиденциальность и  сохранность персональных данных, их защита обеспечиваются отнесением их к сфере негосударственной тайны -- служебной или профессиональной тайне. Профессиональная тайна включает в себя врачебную, адвокатскую, банковскую, нотариальную тайну, тайну органов ЗАГС, предприятий связи, тайну исповеди и другие подвиды этой тайны.

Персональные данные накапливаются  и используются, например, в налоговых  инспекциях, правоохранительных органах, страховых агентствах, туристических  и гостиничных фирмах, в некоторых  подразделениях муниципальных органов  самоуправления и т.д. Но наиболее концентрированное  и обширное отражение персональные данные находят в разнообразной  по составу и значительной по объемам  кадровой документации (документации по личному составу), образующей соответствующую  информационно-документационную систему, которая обеспечивает информацией  функции управления персоналом и  сопровождает реализацию правовых взаимоотношений  граждан с государственными и  негосударственными учреждениями, организациями, предприятиями и фирмами (далее  предприятием). Эта система имеет  не только текущее, оперативное назначение в осуществлении кадровых функций, но и является одновременно ценным социологическим, биографическим и  археографическим источником для исследования и обобщения сложных социальных процессов, протекающих в современной  России.

В целях выявления состава  конфиденциальных сведений и определения  основных направлений защиты персональных данных в отделе кадров выделим две  большие группы документации:

а) документация по организации  работы отдела;

б) документация, образующаяся в процессе основной деятельности отдела и содержащая персональные данные в  единичном или сводном виде.

Первая группа документации содержит организационно-правовую документацию отдела кадров и включает: положение  об отделе, должностные инструкции работников отдела, приказы, распоряжения, указания руководства предприятия, регламентирующие структуру отдела и распределение сфер ответственности  между его работниками, рабочие  инструкции по выполнению основных функций  отдела, ведению документации и формированию персональных данных в комплексы (документы, базы данных и т.п.). К этому относят также дела с документацией по планированию, учету, анализу и отчетности в части основной деятельности отдела. Учитывая значительное своеобразие в формировании статуса отдела и организации основных процессов, сопровождающих его деятельность на различных предприятиях, конфиденциальный характер этой группы документации определяется тем, что злоумышленник может извлечь из анализа этой документации на конкретном предприятии следующие полезные для себя сведения:

- распределение функций  между отделом кадров и планово-финансовым  отделом, бухгалтерией, юридическим  отделом, военно-учетным столом  и другими подразделениями, т.е.  сведения о том, где искать  требуемую информацию;

- распределение функций  внутри отдела кадров между  структурными единицами отдела (группами, секторами) и между работниками,  т.е. сведения о том, у кого  искать требуемую информацию;

- регламентацию рабочего  процесса по оформлению документации, пропусков, удостоверений, т.е.  сведения о том, как можно  воспользоваться этим в несанкционированном  режиме для фальсификации документов, баз данных;

- регламентацию места  хранения документов, дел, баз  данных, т.е. сведения о том,  где и как можно украсть или подменить тот или иной документ, получить требуемую информацию;

- регламентацию отчетной  и справочной работы, т.е. сведения  о том, когда и как можно  перехватить требуемую информацию  по организационным или техническим каналом.

Под злоумышленником понимается лицо или группа лиц, предполагающих совершить и умышленно совершающих  противоправные действия с целью  овладения информацией, составляющей тайну предприятия. К злоумышленникам  относят: недобросовестных конкурентов  и партнеров, лиц, действующих в  их интересах, профессиональных агентов, занимающихся промышленным или экономическим  шпионажем, информаторов, представителей криминальных структур, отдельных преступных элементов, психически больных лиц, работника данного предприятия, сотрудничающего со злоумышленником, и иных лиц, пытающихся нанести ущерб  предприятию или его персоналу.

Любые посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в  отделе кадров. Под посторонним лицом  мы понимает не только злоумышленников  или их сообщников, но и сотрудников  предприятия, функциональные обязанности  которых не связаны с работой  отдела. Следует также учитывать, что работник отдела кадров не должен быть осведомлен о порядке работы других сотрудников этого отдела.

Вторая группа -- документация, образующаяся в процессе основной деятельности отдела кадров и содержащая персональные данные, включает:

- комплексы документов, сопровождающие  процесс оформления трудовых  правоотношений гражданина (при  решении вопросов о приеме  на работу, переводе, увольнении  и т.п.);

- комплексы материалов  по анкетированию, тестированию, проведению собеседований с кандидатами  на должность;

- подлинники и копии  приказов по личному составу;

- личные дела и трудовые  книжки сотрудников;

- дела, содержащие основания  к приказам по личному составу;

- дела, содержащие материалы  аттестации сотрудников, служебных  расследований и т.п.;

- справочно-информационный  банк данных по персоналу -- учетно-справочный аппарат (картотеки, журналы, базы данных и др.);

- подлинники и копии  отчетных, аналитических и справочных  материалов, передаваемых руководству  предприятия, руководителям структурных  подразделений и служб;

- копии отчетов, направляемых  в государственные органы статистики, налоговые инспекции, вышестоящие  органы управления и другие  учреждения.

При работе с документами, делами и базами данных отдела кадров должны соблюдаться следующие основополагающие принципы защиты персональных данных:

- личной ответственности  работников за сохранность и  конфиденциальность сведений о  работе отдела и персональных  данных, а также носителей этой  информации;

- разбиения (дробления)  знания персональных данных между  разными работниками отдела;

- наличия четкой разрешительной  системы доступа работников отдела  к документам, делам и базам  данных;

- проведения регулярных  проверок наличия традиционных  и электронных документов, дел  и баз данных у работников  отдела и кадровых документов  в подразделениях предприятия.

Как мы видим, главным моментом в защите персональных данных является четкая регламентация функций работников отдела кадров и в соответствии с  этим регламентация принадлежности работникам документов, дел, картотек, журналов персонального учета и  баз данных.

Для реализации этого положения  руководителем предприятия должен быть издан приказ или распоряжение о закреплении за работниками  отдела определенных массивов документов, необходимых им для информационного  обеспечения функций, указанных  в должностных инструкциях этих работников, утверждена схема доступа  работников отдела кадров и руководящего состава предприятия, структурных  подразделений к документам отдела, введена личная ответственность  перечисленных должностных лиц  и работников за сохранность и  конфиденциальность персональных данных.

По каждой функции, выполняемой  работником отдела кадров, должен быть регламентирован состав документов, дел и баз данных, с которыми этот работник имеет право работать. Не допускается, чтобы работник мог  знакомиться с любыми документами  и материалами отдела. Целесообразно, в целях разграничения доступа  и разбиения знания персональных данных между работниками, закрепить за разными работниками:

а) документированное оформление трудовых правоотношений (прием, перевод, увольнение и др.),

б) ведение личных дел  и трудовых книжек,

в) составление и хранение приказов по личному составу и  контрактов,

г) ведение справочно-информационного  банка данных.

Распределение сфер деятельности может быть иным в зависимости  от объема работы и штатной численности  работников отдела, но разграничение  обязанностей и массивов документации должно быть осуществлено в обязательном порядке. Это позволит построить  работу отдела в соответствии с указанными выше основополагающими принципами и обеспечить сохранность и конфиденциальность персональных данных. В случае необходимости  перераспределения обязанностей среди  работников отдела (например, при болезни  одного из них, увольнении) должно быть издано соответствующее распоряжение начальника отдела кадров, в котором  регламентируются характер изменений, их срок и дополнения в систему  доступа к документам, делам и  базам данных. Важно, что в этом распоряжении фиксируется изменение  степени осведомленности работников в знании ими персональных данных и сферы личной ответственности  за сохранность и конфиденциальность документации.

Начиная с 1 января 2010 года в  полной мере вступают в силу положения закона «О персональных данных», предусматривающие достаточно жесткие, очень трудоемкие и затратные требования к операторам персональных данных. Весьма нелегко придется операторам: им потребуется по полной программе выполнять многочисленные требования ФСБ и ФСТЭК, которые те разработали. Практика исполнения данного закона уже выявила несколько проблем, которые потенциально затрагивают и службы управления документами.

В организации возникает  новый, весьма объемный пласт документации, связанный с исполнением требований законодательства о создании большого числа внутренних нормативных документов, регламентирующих порядок работы с  персональными данными. Кроме того, контролирующие инстанции уже сейчас требуют регулярного создания документов, подтверждающих постоянный характер этой работы. Фактически речь идет о создании в организации системы менеджмента  персональных данных, Далее именуется  как ПД аналогичной по своим принципам  системе менеджмента качества.

Существующая судебная практика показала также, что в ряде случаев  при небрежном отношении организации  к юридическим тонкостям положений  закона «О персональных данных» некоторые  требования законодательства о ПД начинают противоречить общепринятой практике делопроизводства и архивного дела. Например, когда процесс обработки ПД считается завершенным, эти данные должны быть уничтожены в течение 3 дней, несмотря на установленные сроки хранения (анализ сведений, содержащихся в реестре операторов ПД, показывает, что многие организации указывают в качестве условия завершения обработки ПД прекращение оперативной работы с этими данными в деловых подразделениях, забывая при этом, что в большинстве случаев содержащие ПД документы необходимо достаточно долго хранить во исполнение других законодательно-нормативных требований).

Ситуация обострилась  настолько, что нельзя исключить  принятие уже в этом году Правительством и Думой пожарных мер в виде поправок в закон «О персональных данных», смягчающих требования и/или  сдвигающих дату окончания переходного  периода. 12 ноября 2009 года в Государственную  Думу был внесен законопроект «О внесении изменений в федеральный закон  «О персональных данных»», который  представил глава думского комитета по финансовому рынку Владислав Резник. В Госдуму внесен законопроект, уточняющий порядок обработки персональных данных//Информационное агентство «РосБизнесКонсалтинг», 12 ноября 2009 г.

Законопроектом предлагается определить, что «обработка персональных данных может осуществляться оператором в следующих случаях:

- установления или реализации  договорных отношений, предполагающих  обработку персональных данных;

- выполнения требований  законов, определяющих случаи  обязательной обработки персональных  данных;

- удовлетворения собственных  потребностей при условии, что  при этом не нарушаются права  субъекта персональных данных».  Пояснительная записка к проекту  федерального закона «О внесении  изменений в федеральный закон  «О персональных данных», законопроект  № 282499-5.