"Кадровый вопрос", 2012, N 7

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В КАДРОВОЙ СЛУЖБЕ

В соответствии с требованиями гл. 14 Трудового кодекса и Федерального закона "О персональных данных" (от 27 июля 2006 г. N 152-ФЗ) процесс защиты персональных данных в кадровой службе организации должен быть строго регламентирован. Следует учитывать, что именно регламентация организационных форм и технологии документирования, обработки персональных данных и их неукоснительное соблюдение всеми руководителями и сотрудниками лежат в основе обеспечения надежной защиты персональных данных и, следовательно, обеспечения реальных прав и свобод граждан в трудовой сфере.

При работе с документами, делами и базами данных кадровой службы должны соблюдаться следующие основополагающие принципы защиты персональных данных:

Личной ответственности руководства организации и работников кадровой службы за сохранность и конфиденциальность персональных данных, а также носителей этой информации;

Разбиения (дробления) знания персональных данных между разными руководителями организации и работниками кадровой службы;

Наличия четкой разрешительной (разграничительной) системы доступа руководителей всех уровней и работников к документам, содержащим персональные данные;

Проведения регулярных проверок наличия традиционных и электронных документов, дел и баз в кадровой службе и кадровых документов в подразделениях организации.

Порядок работы с кадровой документацией должен в полном объеме соответствовать требованиям обращения с конфиденциальными документами и персональными данными.

Главным моментом в защите персональных данных является четкая регламентация функций работников кадровой службы и в соответствии с этим регламентация принадлежности работникам функциональных комплексов документов, дел, карточек, журналов персонального учета и баз данных. Любые посторонние лица не должны знать рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в кадровой службе, особенно это касается бланков и документов строгой отчетности.

Под посторонним лицом понимаются не только злоумышленники или их сообщники, но и сотрудники организации, функциональные обязанности которых не связаны с работой кадровой службы. Однако каждый работник должен быть письменно информирован о предполагаемых фактах использования его персональных данных при документировании функций кадровой службы, ведении отчетной и отчетно-справочной работы службы. Работник имеет право не разрешить использовать свои персональные данные.

Для реализации положения о личной ответственности работников кадровой службы за доверенные им персональные данные и документы руководителем организации должен быть издан приказ о закреплении за каждым работником этой службы определенных массивов документов, необходимых им для информационного обеспечения функций, указанных в должностных инструкциях, утверждена схема доступа работников службы и руководящего состава организации, структурных подразделений к кадровым документам, установлены формы ответственности перечисленных должностных лиц и работников за сохранность и конфиденциальность персональных данных.

Не допускается, чтобы работник кадровой службы мог знакомиться с любыми хранимыми документами и материалами службы. Целесообразно, чтобы отдельные работники закреплялись за должностными группами персонала организации и выполняли весь объем функций от подбора персонала до хранения документации. В случае необходимости перераспределения обязанностей среди работников службы (например, при болезни одного из них, увольнении) должно быть издано соответствующее распоряжение руководителя службы, в котором регламентируются характер изменений, их срок и дополнения в систему доступа к документам, делам и базам данных.

При работе с кадровой документацией следует, прежде всего, соблюдать следующие специфические особенности ее обработки и хранения.

Приказы (распоряжения) по личному составу должны составляться, оформляться и храниться в кадровой службе, а не в бухгалтерии или службе ДОУ. Эту работу следует возложить на конкретного сотрудника кадровой службы или нескольких сотрудников, например, в крупных организациях каждый сотрудник может заниматься приказами по категориям персонала - руководителям, специалистам, рабочим и т. д. Регистрация этих приказов также должна быть передана в кадровую службу.

Материалы, связанные с анкетированием, тестированием, проведением собеседований с кандидатами на должность, целесообразно помещать не в личное дело сотрудника, а в специальное дело, имеющее гриф "Строго конфиденциально". Объясняется это тем, что подобные материалы раскрывают личные и моральные качества сотрудника и могут при разглашении содержащихся в них сведений стать полезными злоумышленнику. Материалы с результатами тестирования работающих сотрудников, материалы их аттестаций формируются в самостоятельное дело, также имеющее гриф строгой конфиденциальности.

Особое внимание обращается на сохранность документов личных дел работников. Операции по оформлению, формированию, ведению, закрытию и хранению личных дел должны выполняться одним работником кадровой службы, который несет личную ответственность за сохранность документов в делах и имеет регламентированный доступ к делам других работников.

В случае правомочного изъятия из личного дела документа в описи дела производится запись с указанием основания для подобного действия и нового местонахождения документа. С документа, подлежащего изъятию, снимается копия, которая подшивается на место изъятого документа. Отметка в описи и копия заверяются росписью руководителя и работника кадровой службы. Замена документов в личном деле кем бы то ни было запрещается. Новые, исправленные документы помещаются вместе с ранее включенными в дело.

Приказом руководителя организации должен быть установлен порядок ознакомления или выдачи руководящему составу организации личных дел подчиненных работников. Как правило, знакомиться с личными делами могут: руководитель организации - со всеми личными делами, его заместители - с личными делами курируемых ими подразделений, руководители структурных подразделений - с личными делами сотрудников подразделения.

Выдача личных дел на рабочие места руководителей, как правило, не допускается. На рабочие места личные дела могут выдаваться только первому руководителю, его заместителю по кадрам и в исключительных случаях по письменному разрешению конкретному руководителю структурного подразделения. Дела выдаются (в том числе руководителю кадровой службы или при наличии его письменного разрешения - работнику службы) под отметку в контрольной карточке. В конце рабочего дня все дела должны быть возвращены ответственному за их хранение сотруднику кадровой службы.

Руководители структурных подразделений организации с разрешения руководителя кадровой службы могут знакомиться с личными делами (или при отсутствии личных дел - с карточками формы N Т-2) только непосредственно подчиненных им сотрудников; к справочно-информационному банку данных и другой документации кадровой службы они не допускаются. Ознакомление с делами должно осуществляться в помещении службы под наблюдением работника, ответственного за сохранность и ведение личных дел. Факт ознакомления фиксируется в контрольной карточке личного дела.

Работник организации имеет право знакомиться только со своим личным делом, трудовой книжкой, учетными карточками. Он имеет право потребовать внесения изменений и дополнений в свои анкетно-биографические и другие данные, подтвержденные документами. Факт ознакомления работника с личным делом также фиксируется в контрольной карточке.

О. Иванов

Подписано в печать

Инструкция о порядке обеспечения конфиденциальности

при обработке информации, содержащей персональные данные

I. Общие положения 1.1. Настоящая Инструкция устанавливает применяемые в Государственном образовательном учреждении высшего профессионального образования «Тольяттинский государственный университет» способы обеспечения безопасности при обработке, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, защиту, распространение (в том числе передачу), обезличивание, блокирование, уничтожение, персональных данных с целью соблюдения конфиденциальности сведений, содержащих персональные данные работников и обучающихся ГОУ ВПО ТГУ (далее - Университет).1.2. Настоящая Инструкция разработана на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 19.12.2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», постановлений Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" и от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и иных нормативных правовых актов Российской Федерации, а также «Положения об обработке персональных данных Государственного образовательного учреждения высшего профессионального образования «Тольяттинский государственный университет»».1.3. В соответствии с законодательством РФ под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая Университету в связи с трудовыми отношениями и организацией образовательного процесса.1.4. Требование обеспечения конфиденциальности при обработке персональных данных означает обязательное для соблюдения должностными лицами Университета, допущенными к обработке персональных данных, иными получившими доступ к персональным данным лицами требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.1.5. Обеспечение конфиденциальности персональных данных не требуется в случае:обезличивания персональных данных;для общедоступных персональных данных.1.6. Перечни персональных данных и ответственных за хранение и обработку персональных данных утверждается приказом ректора Университета.Обработка и хранение конфиденциальных данных лицами, не указанными в приказе, запрещается.1.7. В целях обеспечения требований соблюдения конфиденциальности и безопасности при обработке персональных данных Университет предоставляет должностным лицам, работающим с персональными данными, необходимые условия для выполнения указанных требований:- знакомит работника под роспись с требованиями «Положения об обработке персональных данных Государственного образовательного учреждения высшего профессионального образования «Тольяттинский государственный университет»», с настоящей Инструкцией, с должностной инструкцией и иными локальными нормативными актами Университета в сфере обеспечения конфиденциальности и безопасности персональных данных;- предоставляет хранилища для документов, средства для доступа к информационным ресурсам (ключи, пароли и т.п.);- обучает правилам эксплуатации средств защиты информации;- проводит иные необходимые мероприятия.1.8. Должностным лицам Университета, работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью. После подготовки и передачи документа файлы черновиков и вариантов документа переносятся подготовившим их сотрудником на маркированные носители, предназначенные для хранения персональных данных.Без согласования с руководителем структурного подразделения формирование и хранение баз данных (картотек, файловых архивов и др.), содержащих конфиденциальные данные, запрещается.1.9. Должностные лица Университета, работающие с персональными данными, обязаны использовать информацию о персональных данных исключительно для целей, связанных с выполнением своих трудовых обязанностей.1.10. При прекращении выполнения трудовой функции, связанной с обработкой персональных данных, все носители информации, содержащие персональные данные (оригиналы и копии документов, машинные и бумажные носители и пр.), которые находились в распоряжении должностного лица в связи с выполнением должностных обязанностей, данный работник должен передать своему непосредственному руководителю.1.11. Передача персональных данных третьим лицам допускается только в случаях, установленных законодательством РФ, в соответствии с «Положением об обработке персональных данных Государственного образовательного учреждения высшего профессионального образования «Тольяттинский государственный университет»», с настоящей Инструкцией, должностными инструкциями и иными локальными нормативными актами Университета.Передача персональных данных осуществляется ответственным за обработку персональных данных должностным лицом Университета на основании письменного или устного поручения руководителя структурного подразделения.1.12. Передача сведений и документов, содержащих персональные данные, оформляется путем составления акта по установленной настоящей форме.1.13. Должностное лицо, предоставившее персональные данные третьим лицам, направляет письменное уведомление субъекту персональных данных о факте передачи его данных третьим лицам.1.14. Запрещается передача персональных данных по телефону, факсу, электронной почте за исключением случаев, установленных законодательством и действующими в Университете локальными нормативными актами.Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах персональные данные, за исключением данных, содержащихся в материалах заявителя или опубликованных в общедоступных источниках.1.15. Должностные лица Университета, работающие с персональными данными, обязаны немедленно сообщать своему непосредственному руководителю и (или) главному специалисту по информационной безопасности обо всех ставших им известными фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче носителей информации, содержащих персональные данные, удостоверений, пропусков, ключей от сейфов (хранилищ), личных печатей, электронных ключей и других фактах, которые могут привести к несанкционированному доступу к персональным данным, а также о причинах и условиях возможной утечки этих сведений.1.16. Должностные лица, осуществляющие обработку персональных данных, за невыполнение требований конфиденциальности, защиты персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.1.17. Отсутствие контроля со стороны Университета за надлежащим исполнением работником своих обязанностей в области обеспечения конфиденциальности и безопасности персональных данных не освобождает работника от таких обязанностей и предусмотренной законодательством РФ ответственности.II. Порядок обеспечения безопасности при обработке персональных данных, осуществляемой без использования средств автоматизации 2.1. Обработка персональных данных, в том числе содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такая обработка осуществляется при непосредственном участии человека.2.2. Руководитель структурного подразделения, осуществляющего обработку персональных данных без использования средств автоматизации:- определяет места хранения персональных данных (материальных носителей);- осуществляет контроль наличия в структурном подразделении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;- информирует лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о перечне обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;- организует раздельное, т.е. не допускающее смешение, хранение материальных носителей персональных данных (документов, дисков, дискет, USB флеш-накопителей, пр.), обработка которых осуществляется в различных целях.2.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.2.4. При несовместимости целей обработки персональных данных, руководитель структурного подразделения должен обеспечить раздельную обработку персональных данных.2.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, должно производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).2.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе.III. Порядок обеспечения безопасности при обработке персональных данных, осуществляемой с использованием средств автоматизации 3.1. Обработка персональных данных с использованием средств автоматизации означает совершение действий (операций) с такими данными с помощью объектов вычислительной техники в Корпоративной компьютерной сети Университета (далее - ККС).Безопасность персональных данных при их обработке в ККС обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в ККС информационные технологии.Технические и программные средства защиты информации должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в ККС, в установленном порядке проходят процедуру оценки соответствия.3.2. Допуск лиц к обработке персональных данных с использованием средств автоматизации осуществляется на основании приказа ректора Университета при наличии паролей доступа.Работа с персональными данными, содержащимися в ККС, осуществляется в соответствии с «Регламентом действий пользователя », с которыми работник, в должностные обязанности которого входит обработка персональных данных, знакомится под роспись.3.3. Работа с персональными данными в ККС должна быть организована таким образом, чтобы обеспечивалась сохранность носителей персональных данных и средств защиты информации, а также исключалась возможность неконтролируемого пребывания в этих помещениях посторонних лиц.3.4. Компьютеры и (или) электронные папки, в которых содержатся файлы с персональными данными, для каждого пользователя должны быть защищены индивидуальными паролями доступа, соответствующими требованиям «Регламента парольной защиты ».3.5. Пересылка персональных данных без использования специальных средств защиты по общедоступным сетям связи, в том числе Интернет, запрещается.3.6. При обработке персональных данных в ККС пользователями должно быть обеспечено:а) использование предназначенных для этого разделов (каталогов) носителей информации, встроенных в технические средства, или съемных маркированных носителей;б) недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;в) постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;г) недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.3.6. При обработке персональных данных в ККС разработчиками и администраторами информационных систем должны обеспечиваться:а) обучение лиц, использующих средства защиты информации, применяемые в ККС, правилам работы с ними;б) учет лиц, допущенных к работе с персональными данными в ККС, прав и паролей доступа;в) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;г) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;д) описание системы защиты персональных данных.3.7. Специфические требования по защите персональных данных в отдельных автоматизированных системах Университета определяются утвержденными в установленном порядке инструкциями по их использованию и эксплуатации.IV. Порядок учета, хранения и обращения со съемными носителями персональных данных, твердыми копиями и их утилизации 4.1. Все находящиеся на хранении и в обращении в Университете съемные носители (диски, дискеты, USB флеш-накопители, пр.), содержащие персональные данные, подлежат учёту. Каждый съемный носитель с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный учетный номер.4.2. Учет и выдачу съемных носителей персональных данных осуществляют работники Отдела технической поддержки Центра новых информационных технологий (ЦНИТ) .Работники Университета получают учтенный съемный носитель от уполномоченного сотрудника для выполнения работ на конкретный срок.При получении делаются соответствующие записи в журнале персонального учета съемных носителей персональных данных (далее - журнал учета), который ведется в Отделе технической поддержки ЦНИТ.По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в журнале учета.4.3. При работе со съемными носителями, содержащими персональные данные, запрещается:хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т. д.4.4. При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения Университета.4.5. О фактах утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений должно быть немедленно сообщено главному специалисту по информационной безопасности.На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета.V. Заключительные положения 5.1. С положениями настоящей Инструкции должны быть ознакомлены под роспись в "Журнале учета допуска к обработке персональных данных " все работники структурных подразделений Университета и лица, выполняющие работы по договорам и контрактам, имеющие отношение к обработке персональных данных работников и обучающихся Университета. Ответственные за инструктаж - Администраторы информационных систем, в которых обрабатываются персональные данные.

Работа отдела кадров любого предприятия или фирмы связана с обработкой значительных объемов персональных сведений (данных), отражающих профессиональные, деловые и личностные качества сотрудников и являющихся конфиденциальными. Конфиденциальность определяется тем, что эти сведения составляют личную или семейную тайну граждан и подлежат защите в соответствии с законом. Функционирование отдела кадров должно быть подчинено решению задач обеспечения безопасности персональных сведений, их защиты от множества видов угроз, которые может создать злоумышленник, чтобы завладеть этими сведениями и использовать их в противоправных целях. Работа службы персонала, управления или отдела кадров, менеджера по персоналу, иногда в некрупных организациях -- секретаря-референта (далее -- отдела кадров) связана с накоплением, формированием, обработкой, хранением и использованием значительных объемов сведений о всех категориях сотрудников. Эти сведения относятся к так называемым персональным данным, которые по своей сути отражают личную или семейную тайну граждан, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа.

Личная тайна гражданина охраняется Конституцией Российской Федерации. Разглашение этой тайны, т.е. бесконтрольное распространение персональных данных во времени и пространстве, может нанести значительный ущерб физическому лицу. Понятие личной тайны близко примыкает к семейной тайне. Семейная тайна или тайна нескольких физических лиц, членов семьи, не тождественна личной тайне по составу защищаемых сведений. Например, к семейной тайне относятся: тайна усыновления, тайна отцовства, тайна наследственного заболевания и др.

Под персональными данными (информацией о гражданах) понимается любая документированная информация, относящаяся к конкретному человеку. Персональные данные идентифицируют личность каждого человека. Субъектами персональных данных являются граждане Российской Федерации, иностранные граждане и лица без гражданства, находящиеся на территории России, к личности которых относятся соответствующие персональные данные. Держатели персональных данных -- органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, осуществляющие владение и пользование этими данными. Пользователями персональных данных могут быть органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, обращающиеся к держателю данных за получением необходимых им персональных данных и пользования ими без права передачи.

Персональные данные всегда относятся к категории конфиденциальной информации. Не допускается сбор, передача, уничтожение, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения. Режим конфиденциальности персональных данных снимается в случаях обезличивания этих данных или по истечении 75 лет срока их хранения, если иное не определено законом.

Работа с персональными данными должна осуществляться только в целях, по перечням и в сроки, которые необходимы для выполнения задач соответствующего держателя или пользователя персональных данных, и устанавливается действующим законодательством, лицензией или договором. Персональные данные не могут быть использованы в целях причинения имущественного и (или) морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан на основе использования информации об их социальном происхождении, расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

Субъект персональных данных самостоятельно решает вопрос передачи кому-либо сведений о себе за исключением случаев, предусмотренных законодательством. В свою очередь, субъект имеет право на доступ к персональным данным, относящимся к его личности, и получение сведений о наличии этих данных и самих данных. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя эти данных внесения в них изменений и дополнений. С другой стороны, субъект обязан сообщить держателю об изменении тех или иных персональных данных.

Конфиденциальность и сохранность персональных данных, их защита обеспечиваются отнесением их к сфере негосударственной тайны -- служебной или профессиональной тайне. Профессиональная тайна включает в себя врачебную, адвокатскую, банковскую, нотариальную тайну, тайну органов ЗАГС, предприятий связи, тайну исповеди и другие подвиды этой тайны.

Персональные данные накапливаются и используются, например, в налоговых инспекциях, правоохранительных органах, страховых агентствах, туристических и гостиничных фирмах, в некоторых подразделениях муниципальных органов самоуправления и т.д. Но наиболее концентрированное и обширное отражение персональные данные находят в разнообразной по составу и значительной по объемам кадровой документации (документации по личному составу), образующей соответствующую информационно-документационную систему, которая обеспечивает информацией функции управления персоналом и сопровождает реализацию правовых взаимоотношений граждан с государственными и негосударственными учреждениями, организациями, предприятиями и фирмами (далее предприятием). Эта система имеет не только текущее, оперативное назначение в осуществлении кадровых функций, но и является одновременно ценным социологическим, биографическим и археографическим источником для исследования и обобщения сложных социальных процессов, протекающих в современной России.

В целях выявления состава конфиденциальных сведений и определения основных направлений защиты персональных данных в отделе кадров выделим две большие группы документации:

  • а) документация по организации работы отдела;
  • б) документация, образующаяся в процессе основной деятельности отдела и содержащая персональные данные в единичном или сводном виде.

Первая группа документации содержит организационно-правовую документацию отдела кадров и включает: положение об отделе, должностные инструкции работников отдела, приказы, распоряжения, указания руководства предприятия, регламентирующие структуру отдела и распределение сфер ответственности между его работниками, рабочие инструкции по выполнению основных функций отдела, ведению документации и формированию персональных данных в комплексы (документы, базы данных и т.п.). К этому относят также дела с документацией по планированию, учету, анализу и отчетности в части основной деятельности отдела. Учитывая значительное своеобразие в формировании статуса отдела и организации основных процессов, сопровождающих его деятельность на различных предприятиях, конфиденциальный характер этой группы документации определяется тем, что злоумышленник может извлечь из анализа этой документации на конкретном предприятии следующие полезные для себя сведения:

  • - распределение функций между отделом кадров и планово-финансовым отделом, бухгалтерией, юридическим отделом, военно-учетным столом и другими подразделениями, т.е. сведения о том, где искать требуемую информацию;
  • - распределение функций внутри отдела кадров между структурными единицами отдела (группами, секторами) и между работниками, т.е. сведения о том, у кого искать требуемую информацию;
  • - регламентацию рабочего процесса по оформлению документации, пропусков, удостоверений, т.е. сведения о том, как можно воспользоваться этим в несанкционированном режиме для фальсификации документов, баз данных;
  • - регламентацию места хранения документов, дел, баз данных, т.е. сведения о том, где и как можно украсть или подменить тот или иной документ, получить требуемую информацию;
  • - регламентацию отчетной и справочной работы, т.е. сведения о том, когда и как можно перехватить требуемую информацию по организационным или техническим каналом.

Под злоумышленником понимается лицо или группа лиц, предполагающих совершить и умышленно совершающих противоправные действия с целью овладения информацией, составляющей тайну предприятия. К злоумышленникам относят: недобросовестных конкурентов и партнеров, лиц, действующих в их интересах, профессиональных агентов, занимающихся промышленным или экономическим шпионажем, информаторов, представителей криминальных структур, отдельных преступных элементов, психически больных лиц, работника данного предприятия, сотрудничающего со злоумышленником, и иных лиц, пытающихся нанести ущерб предприятию или его персоналу.

Любые посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе кадров. Под посторонним лицом мы понимает не только злоумышленников или их сообщников, но и сотрудников предприятия, функциональные обязанности которых не связаны с работой отдела. Следует также учитывать, что работник отдела кадров не должен быть осведомлен о порядке работы других сотрудников этого отдела.

Вторая группа -- документация, образующаяся в процессе основной деятельности отдела кадров и содержащая персональные данные, включает:

  • - комплексы документов, сопровождающие процесс оформления трудовых правоотношений гражданина (при решении вопросов о приеме на работу, переводе, увольнении и т.п.);
  • - комплексы материалов по анкетированию, тестированию, проведению собеседований с кандидатами на должность;
  • - подлинники и копии приказов по личному составу;
  • - личные дела и трудовые книжки сотрудников;
  • - дела, содержащие основания к приказам по личному составу;
  • - дела, содержащие материалы аттестации сотрудников, служебных расследований и т.п.;
  • - справочно-информационный банк данных по персоналу -- учетно-справочный аппарат (картотеки, журналы, базы данных и др.);
  • - подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству предприятия, руководителям структурных подразделений и служб;
  • - копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.

При работе с документами, делами и базами данных отдела кадров должны соблюдаться следующие основополагающие принципы защиты персональных данных:

  • - личной ответственности работников за сохранность и конфиденциальность сведений о работе отдела и персональных данных, а также носителей этой информации;
  • - разбиения (дробления) знания персональных данных между разными работниками отдела;
  • - наличия четкой разрешительной системы доступа работников отдела к документам, делам и базам данных;
  • - проведения регулярных проверок наличия традиционных и электронных документов, дел и баз данных у работников отдела и кадровых документов в подразделениях предприятия.

Как мы видим, главным моментом в защите персональных данных является четкая регламентация функций работников отдела кадров и в соответствии с этим регламентация принадлежности работникам документов, дел, картотек, журналов персонального учета и баз данных.

Для реализации этого положения руководителем предприятия должен быть издан приказ или распоряжение о закреплении за работниками отдела определенных массивов документов, необходимых им для информационного обеспечения функций, указанных в должностных инструкциях этих работников, утверждена схема доступа работников отдела кадров и руководящего состава предприятия, структурных подразделений к документам отдела, введена личная ответственность перечисленных должностных лиц и работников за сохранность и конфиденциальность персональных данных.

По каждой функции, выполняемой работником отдела кадров, должен быть регламентирован состав документов, дел и баз данных, с которыми этот работник имеет право работать. Не допускается, чтобы работник мог знакомиться с любыми документами и материалами отдела. Целесообразно, в целях разграничения доступа и разбиения знания персональных данных между работниками, закрепить за разными работниками:

  • а) документированное оформление трудовых правоотношений (прием, перевод, увольнение и др.),
  • б) ведение личных дел и трудовых книжек,
  • в) составление и хранение приказов по личному составу и контрактов,
  • г) ведение справочно-информационного банка данных.

Распределение сфер деятельности может быть иным в зависимости от объема работы и штатной численности работников отдела, но разграничение обязанностей и массивов документации должно быть осуществлено в обязательном порядке. Это позволит построить работу отдела в соответствии с указанными выше основополагающими принципами и обеспечить сохранность и конфиденциальность персональных данных. В случае необходимости перераспределения обязанностей среди работников отдела (например, при болезни одного из них, увольнении) должно быть издано соответствующее распоряжение начальника отдела кадров, в котором регламентируются характер изменений, их срок и дополнения в систему доступа к документам, делам и базам данных. Важно, что в этом распоряжении фиксируется изменение степени осведомленности работников в знании ими персональных данных и сферы личной ответственности за сохранность и конфиденциальность документации.

Начиная с 1 января 2010 года в полной мере вступают в силу положения закона «О персональных данных», предусматривающие достаточно жесткие, очень трудоемкие и затратные требования к операторам персональных данных. Весьма нелегко придется операторам: им потребуется по полной программе выполнять многочисленные требования ФСБ и ФСТЭК, которые те разработали. Практика исполнения данного закона уже выявила несколько проблем, которые потенциально затрагивают и службы управления документами.

В организации возникает новый, весьма объемный пласт документации, связанный с исполнением требований законодательства о создании большого числа внутренних нормативных документов, регламентирующих порядок работы с персональными данными. Кроме того, контролирующие инстанции уже сейчас требуют регулярного создания документов, подтверждающих постоянный характер этой работы. Фактически речь идет о создании в организации системы менеджмента персональных данных, Далее именуется как ПД аналогичной по своим принципам системе менеджмента качества.

Существующая судебная практика показала также, что в ряде случаев при небрежном отношении организации к юридическим тонкостям положений закона «О персональных данных» некоторые требования законодательства о ПД начинают противоречить общепринятой практике делопроизводства и архивного дела. Например, когда процесс обработки ПД считается завершенным, эти данные должны быть уничтожены в течение 3 дней, несмотря на установленные сроки хранения (анализ сведений, содержащихся в реестре операторов ПД, показывает, что многие организации указывают в качестве условия завершения обработки ПД прекращение оперативной работы с этими данными в деловых подразделениях, забывая при этом, что в большинстве случаев содержащие ПД документы необходимо достаточно долго хранить во исполнение других законодательно-нормативных требований).

Ситуация обострилась настолько, что нельзя исключить принятие уже в этом году Правительством и Думой пожарных мер в виде поправок в закон «О персональных данных», смягчающих требования и/или сдвигающих дату окончания переходного периода. 12 ноября 2009 года в Государственную Думу был внесен законопроект «О внесении изменений в федеральный закон «О персональных данных»», который представил глава думского комитета по финансовому рынку Владислав Резник. В Госдуму внесен законопроект, уточняющий порядок обработки персональных данных//Информационное агентство «РосБизнесКонсалтинг», 12 ноября 2009 г.

Законопроектом предлагается определить, что «обработка персональных данных может осуществляться оператором в следующих случаях:

  • - установления или реализации договорных отношений, предполагающих обработку персональных данных;
  • - выполнения требований законов, определяющих случаи обязательной обработки персональных данных;
  • - удовлетворения собственных потребностей при условии, что при этом не нарушаются права субъекта персональных данных». Пояснительная записка к проекту федерального закона «О внесении изменений в федеральный закон «О персональных данных», законопроект № 282499-5.

На фоне кризиса в мировой экономике, да и в силу малого интереса россиян к вопросам законодательства принятие этого закона осталось практически незамеченным. Международный опыт показывает, что именно этот закон, особенно в сочетании с законодательством о защите персональных данных, способен доставить крупные неприятности государственным муниципальным органам.

Поскольку этот закон появился «сверху», пока ни одна из заинтересованных сторон большого внимания на него не обратила. Такая ситуация, скорее всего, продлится недолго. И, как показывает мировой опыт, государственные органы столкнутся с рядом сложных проблем. С точки зрения делопроизводства, в государственных органах возникнет еще один мощный документопоток, а в связи с неизбежными нарушениями требований законодательства будут и многочисленные судебные иски и разбирательства. Государственным органам с их постоянно недоукомплектованной, недооплачиваемой и перегруженной службой ДОУ придется очень нелегко. Закон, кроме того, меняет технологию работы с документами: например, впервые вводится трудоемкая практика цензурирования документов, имеющих грифы ограничения доступа.

В отличие от федеральных органов, региональные органы власти осенью 2009 года уделили этому законодательству больше внимания. В ряде регионов разрабатываются и принимаются собственные законодательные и нормативные акты, регламентирующие порядок доступа к информации региональных властей.

В середине 2009 года вступил в силу ряд законодательных актов. Это прежде всего новая статья 13.25 «Нарушение требований законодательства о хранении документов» Кодекса Российской Федерации об административных правонарушениях, ужесточающая требования к организации хранения документов коммерческих организациях. Теперь организация может быть оштрафована на 200-300 тысяч рублей, например, за отсутствие номенклатуры дел.

Требования новой статьи распространяются как на акционерные общества и участников рынка ценных бумаг, так и на общества с ограниченной ответственностью, государственные и муниципальные унитарные предприятия. Наказания для них установлены одинаковые. Разница заключается лишь в том, что с организациями, перечисленными в первой части статьи, будет разбираться Федеральная служба по финансовым рынкам, а с ООО и унитарными предприятиями - государственный орган, «уполномоченный в области управления архивным фондом», т.е. Росархив.

Кроме того, Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации» от 28.04.2009 № 733-ФЗ также ужесточил требования к обеспечению сохранности документов. Соответствующие нормы внесены в 3 российских Федеральных закона: «О банках и банковской деятельности», «О несостоятельности (банкротстве) кредитных организаций» и «О несостоятельности (банкротстве)». Эти изменения уже вступили в силу - в начале июня 2009 г. Цитата по: Дэвид Банисар Свобода информации в мире. 2006 год. Общий обзор законодательства по доступу к правительственной информации в мире. «Privacy International», 2006. С.35-36.

Впервые в нашем законодательстве фактически введена персональная ответственность высшего руководства организации за сохранность документов.

В свете новых требований еще острее становится вопрос о правильном установлении и отслеживании сроков хранения документов и об уничтожении документов с истекшими сроками хранения в строгом соответствии с законодательством. В этой связи повышенный интерес вызывает разработка и введение в действие новых перечней документов с указанием сроков хранения.

29 октября 2009 г. Федеральное архивное агентство разместило для публичного обсуждения и общественной экспертизы проект «Перечня типовых управленческих архивных документов, образующихся в деятельности государственных органов Российской Федерации, государственных органов субъектов Российской Федерации, органов местного самоуправления и учреждений, организаций, предприятий, с указанием сроков хранения». Проект «Перечня типовых управленческих архивных документов, образующихся в деятельности государственных органов Российской Федерации, государственных органов субъектов Российской органов местного самоуправления и учреждений, организаций, предприятий, с указанием сроков хранения» http://www.rusarchives.ru/news/ptyad.pdf За этот поступок, способствующий большей открытости работы ведомства и повышению качества разрабатываемых нормативных документов, руководство Росархива заслуживает самых добрых слов, и хочется надеяться, что данная практика станет традиционной.

Перечисленные выше факторы будут оказывать давление на организации как государственного, так и частного сектора. В первую очередь это давление почувствуют на себе специалисты служб, обеспечивающие бумажный и электронный документооборот. Весьма вероятно, что объемы работы увеличатся, и в первую очередь это грозит сотрудникам государственных органов.

С другой стороны, появляются и новые возможности в случае, если сотрудники, традиционно работающие с бумажными документами, сумеют найти свою нишу в новых направлениях работы, в первую очередь связанных с внедрением информационно-телекоммуникационных технологий. Это даст им шанс на повышение социального статуса в организации и, соответственно, уровня заработной платы.

И если перспективы на 2010 год для государственных организаций и собственников коммерческих организаций выглядят не слишком радостно, то для специалистов ДОУ они могут быть источником определенного оптимизма. Во все более усложняющейся ситуации грамотно организовать работу с документами могут только квалифицированные специалисты, а тем руководителям, кто этого еще не понял, стоит зарезервировать несколько сотен тысяч рублей для оплаты штрафов за нарушение требований законодательства.

Публикуем весь перечень документов, касающихся хранения и обработки персональных данных на сайте, с образцами и рекомендациями по их заполнению.

Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов. Чтобы все это понять, требуется техническая подготовка. Для новичка это не так просто, но лучше обезопасить себя.

Некоторые компании и сайты оказывают услуги в их подготовке: Контур , Б-152 , FreshDoc . А можно скачать шаблоны этих документов.

В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы:

1. Перечень сведений конфиденциального характера

Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете. Укажите, что Перечень разработан в соответствии с законом «О персональных данных» и Уставом организации (если вы представляете юрлицо), четко обозначьте ВСЕ виды категории персональных данных. Это можно сделать в виде таблицы. В этом же документе советуем указать цели и сроки обработки персональных данных. Пример .

2. Инструкция администратора информационной безопасности

Администратор информационной системы персональных данных назначается приказом руководителя. В Инструкции перечисляем должностные обязанности, такие, например, как «знать и выполнять требования всех регулирующих документов, которые регламентируют порядок по защите информации», «обеспечивать установку, настройку и обновление информационной системы персональных данных», «обеспечивать функционирование средств защиты системы», «обеспечивать выполнение требований по обеспечению безопасности информации» и пр. Примеры: первый , второй .

3. Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных (для организаций).

4. Перечень персональных данных, подлежащих защите в информационных системах. Пример.
Рекомендации Роскомнадзора по составлению документа , определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

5. Приказ об утверждении мест хранения персональных данных.

Если вы храните персональные данные на материальных носителях, необходимо утвердить места хранения. Пример .

6. Перечень помещений, в которых ведется обработка персональных данных.

7. Инструкция пользователей информационной системы персональных данных.

Этот документ определяет должностные обязанности всех, кто работает с персональными данными (осуществляет обработку и пр.). Пример.

8. Приказ о назначении комиссии по уничтожению персональных данных.

Уничтожению персональных данных придается особое значение. После того, как цели обработки выполнены, персональные данные должны быть уничтожены. Подробнее про уничтожение персональных данных написано . Пример Приказа .

9. Проект системы защиты информационной системы персональных данных. Пример .

10. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Пример .

11. План внутренних проверок режима защиты персональных данных.

План можно сделать в виде таблицы, там укажите, с какой периодичностью будут осуществляться проверки режима и оборудования. Пример .

12. Приказ о вводе в эксплуатацию информационной системы персональных данных, заключение о вводе в эксплуатацию информационной системы персональных данных. Пример .

13. Журнал учета носителей информации информационной системы персональных данных.

14. Журнал учета мероприятий по контролю обеспечения защиты персональных данных.

Журнал можно сделать в виде таблицы и записывать туда проводимые мероприятия. Пример .

15. План проведения внутренних проверок состояния защиты ПД.

Образец документа можно найти и .

16. Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав.

Сюда запишите всех, кто обращается за информацией о своих персональных данных. Пример .

17. Правила обработки персональных данных без использования средств автоматизации. О регулировании .

18. Положение о разграничении прав доступа к обрабатываемым персональным данным. Пример .

19. Акт классификации информационной системы персональных данных.

Информационная система – «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» (Закон РФ «Об информации, информатизации и защите информации»). Примером информационной системы может быть база данных, содержащая персональные данные, используемая в вашей организации. Даже если вы просто владелец сайта, то говорить об информационной системе мы можем тогда, когда собранные на сайте персональные данные заносятся в базу и потом обрабатываются.

20. Инструкция по проведения антивирусного контроля в информационной системе персональных данных. Пример .

21. Инструкция по организации парольной защиты.

22. Журнал периодического тестирования средств защиты информации.

23. Форма акта уничтожения документов, содержащих персональные данные.

Если вы владелец сайта, обязательно создайте список, в котором вы будете фиксировать уничтожение персональных данных (что было сделано и когда). Пример и ещё .

24. Журнал учета средств защиты информации(перечень технических средств). Пример .

25. Журнал проведения инструктажа по информационной безопасности (для организаций).

26. Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций.

27. Приказ о перечне лиц, допущенных к обработке персональных данных.

28. Положение о защите персональных данных.

Цель этого документа – защитить персональные данные от несанкционированного доступа. В Положении можно прописать следующее: понятия из законодательства, цели и основания для обработки, права и обязанности оператора и субъектов персональных данных.

Опишите, как регламентируется внутренний доступ к персональным данным, кто имеет право доступа, каким образом ограничивается доступ, какие меры внутренней и внешней защиты применяются (пароли, регламентация состава работников, имеющих доступ к работе с персональными данными, обеспечение безопасности хранения персональных данных от посторонних), обязательно укажите ответственность за разглашение (для сотрудников).

29. Соглашение о неразглашении персональных данных.

Это соглашение подписывает каждый, кто имеет доступ к персональным данным. Перечислите все сведения, не подлежащие разглашению, объясните, почему и зачем это делается («я понимаю, что мне приходится заниматься сбором, хранением, обработкой персональных данных, обязуюсь соблюдать все требования, описанные в «Положении о защите персональных данных»»). Пример .

30. План мероприятий по обеспечению безопасности персональных данных.

В этом документе укажите мероприятия, сроки и исполнителя: установку антивирусной программы, установку паролей, внедрение доработок и обновлений и пр. Пример .

31. Модель угроз безопасности в информационной системе персональных данных.

Угрозы безопасности – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 закона «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. .

Смысл этого документа – определить возможные угрозы безопасности системы персональных данных и описать, какие способы защиты будут использоваться при их возникновении. Пример .

32. Форма ответа на запрос субъекта персональных данных. Пример .

Не забывайте заполнять и обновлять эти документы!

Если после прочтения материала у вас остались вопросы (вы не совсем поняли, что является персональными данными, сомневаетесь, надо ли регистрироваться в реестре Роскомнадзора, не знаете, как оформить соглашение об обработке данных, и прочее, и прочее), пишите на [email protected].

В процессе осуществления хозяйственной деятельности любой работодатель сталкивается с вопросами организации труда, управления трудовыми отношениями и регламентации этих процессов. Документальное оформление кадровых процедур является неотъемлемой обязанностью любого работодателя независимо от масштабов деятельности и организационно-правовой формы предприятия. Ведение кадрового делопроизводства позволяет работодателю документально оформить трудовые отношения и формализовать кадровые процедуры.

К сожалению сегодня не все работодатели уделяют должное внимание значимости кадрового делопроизводства как процесса документирования трудовых отношений. Часто об учете кадров и кадровой документации вспоминают только при возникновении трудовых споров, либо при проведении проверки сотрудниками соответствующих органов.

Правильно организованное кадровое делопроизводство способствует не только более эффективному управлению персоналом, но и позволяет обезопасить организацию от негативных последствий неправильно оформленных трудовых отношений. Поэтому в организации важно установить правильное ведение кадровой документации, в том числе провести оформление трудовых отношений в соответствии с действующим трудовым законодательством.

    ПЕРСОНАЛЬНЫЕ ДАННЫЕ И ИХ ДОКУМЕНТИРОВАНИЕ

    1. Понятие и структура персональных данных

Управление персоналом предполагает выполнение комплекса функций, связанных с прогнозированием и планированием трудовых ресурсов, подбором и расстановкой кадров, организацией и координацией их работы, контролем за ходом ее выполнения.

Персона - личность, особа. Персонал – это личный состав или совокупность работников (трудовой коллектив) учреждения, предприятия, фирмы, подразделяемый обычно на группы по профессиональным или служебным признакам (руководящий персонал, технический персонал, обслуживающий персонал и т.д.), месту работы (персонал конструкторского бюро, персонал отдела и т.п.).

Под персоналом мы обычно подразумеваем всех лиц, имеющих трудовые отношения с данной организацией. Термин стал широко использоваться в России с начала 1990-х гг. как синоним личного состава, кадров, трудового коллектива. В соответствии с ТК ЗФ управление персоналом основывается на социальном партнерстве, под которым понимается система трудовых отношений, направленных на обеспечение согласованности интересов работников и работодателей. Соглашение между работником и работодателем предусматривает личное выполнение работником за плату трудовой функции, соблюдение им правил внутреннего трудового распорядка при обеспечении работодателем условий труда, предусмотренных трудовым законодательством, коллективным договором, соглашениями, трудовым договором.

С учетом предмета регулируемых правоотношений под персональными данными работника в ТК РФ понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Это определение персональных данных логично входит составной частью в аналогичное, но более широкое понятие, сформулированное в действующем Федеральном законе «Об информации, информатизации и защите информации». В соответствии с законом информация о гражданах (персональные данные) - это сведения о фактах, событиях и обстоятельствах жизни граждан, позволяющие идентифицировать его личность. Комплексы персональных данных, которые являются объектом изучения, обработки, использования и хранения в кадровых службах организационных структур всех типов, формируются в процессе реализации функций управления персоналом.

К персональным данным мы относим:

  1. все биографические сведения гражданина;

    его образование;

    специальность;

    занимаемую должность;

    наличие судимостей;

    адрес места жительства, домашний телефон;

    состав семьи;

    место работы или учебы членов семьи и родственников; характер взаимоотношений в семье;

    размер заработной платы;

    состав декларируемых сведений о наличии материальных ценностей;

Следует напомнить, что эти данные могут использоваться не только при реализации трудовых правоотношений, но и возникать, обрабатываться в ходе других событий - при обретении гражданином права на получение персональных документов (паспорта, диплома, аттестата), в медицинской практике, решении жилищных вопросов, регистрации актов гражданского состояния и многих других.

Персональные данные всегда документируются. Например, в кадровой службе организации они содержатся в:

    документации, связанной с подбором персонала;

    документации, сопровождающей процесс оформления трудовых правоотношений гражданина (при решении вопросов о приеме на работу, переводе, увольнении и т.п.);

    документации по анкетированию, тестированию, проведению собеседований с кандидатами на должность;

    коллективных и трудовых договорах, соглашениях, устанавливающих трудовые взаимоотношения сторон;

    подлинниках и копиях приказов по личному составу;

    документации личных дел, трудовых книжках сотрудников;

    делах кадровой службы, содержащих документы по планированию и организации работы службы;

    справочно-информационном банке данных (учетном аппарате) по персоналу - картотеках, журналах, базах данных и др.;

    подлинниках и копиях отчетных, аналитических и справочных материалов, передаваемых руководству организации, руководителям структурных подразделений и служб;

    копиях отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления, муниципальные и другие учреждения.

Любые персональные данные относятся к конфиденциальной информации, т.е. информации строго ограниченного и регламентированного доступа. В любых организационных структурах эта информация составляет служебную или профессиональную тайну. Хотя, учитывая массовость и единое место обработки и хранения кадровой документации, соответствующий гриф ограничения доступа на них не ставится. Режим конфиденциальности персональных данных снимается в случаях обезличивания этих данных или по истечении 75 лет срока их хранения, если иное не определено законом.