Другие руководители предприятия могут знакомиться с личными делами (или при отсутствии личных дел – карточками формы Т-2 (Приложение 1)) только непосредственно подчиненных им сотрудников; к справочно-информационному банку данных и другой документации отдела кадров они не допускаются. Ознакомление с делами осуществляется в помещении отдела кадров под наблюдением работника, ответственного за сохранность и ведение личных дел. Факт ознакомления фиксируется контрольной карточке личного дела. Работник предприятия вправе ознакомиться только со своим личным делом и трудовой книжкой, учетными карточками, отражающими его персональные данные. Факт ознакомления с личным делом также фиксируется в контрольной карточке.

Не менее строгого контроля требует работа со справочно-информационным банком данных по персоналу предприятия (карточками, журналами и книгами персонального учета сотрудников).

Отчетная и справочная работа отдела формирует каналы несанкционированного получения и незаконного использования персональных данных. В связи с Тим первым руководителем устанавливается: кто, когда, какие сведения и с какой целью может запрашивать в отделе кадров. И, что особенно важно – определяется порядок дальнейшего хранения сведений, работа с которыми закончена: где эти сведения будут находиться, кто несет ответственность за их сохранность и конфиденциальность.

На документах, выходящих за пределы отдела кадров, может ставиться гриф «конфиденциально» или «для служебного пользования». В отделе кадров обязатель­но остаются копии всех отчетных и справочных документов. Целесообразно, чтобы подлинники этих документов после мино­вания в них надобности возвращались в от­дел кадров для включения в дело вместо хранящейся там копии.

В структурных подразделениях пред­приятия могут быть следующие документы, содержащие персональные данные:

· журнал табельного учета с указанием должностей, фамилий и инициалов сотруд­ников (находится у работника, ведущего табельный учет, - табельщика),

· штатное расписание (штатный форму­ляр) подразделения, в котором может до­полнительно указываться, кто из сотрудни­ков занимает ту или иную должность, вакантные должности (находится у руково­дителя подразделения),

· дело с выписками из приказов по лично­му составу, касающимися персонала под­разделения (находится у табельщика).

Руководитель подразделения может иметь список сотрудников с указанием ос­новных биографических данных каждого из них (год рождения, образование, местожи­тельство, домашний телефон и др.). Все пе­речисленные документы следует хранить в соответствующих делах, включенных в но­менклатуру дел и имеющих гриф ограниче­ния доступа. Не реже одного раза в год ра­ботники отдела кадров проверяют наличие этих дел в подразделениях, их комплект­ность, правильность ведения и уничтоже­ния.

В отделе кадров дела, картотеки, учет­ные журналы и книги учета хранятся в рабочее и нерабочее время в металли­ческих запирающихся и опечатываемых шкафах. Работникам не разрешается при любом по продолжительности выхо­де из помещения оставлять какие-либо документы на рабочем столе или остав­лять шкафы незапертыми. У каждого работника должен быть свой шкаф для хранения закрепленных за ним дел и картотек. Трудовые книжки хранятся в сейфе. Оставлять на рабочем столе в не­рабочее время документы, картотеки, служебные записи и другие материалы категорически запрещается.

Помимо операций с документами работ­ники отдела кадров значительную часть времени тратят на прием посетителей. Этот вид работы также должен быть строго рег­ламентирован, т.к. посетители могут пред­ставлять определенную угрозу информа­ционной безопасности отдела кадров и физической безопасности работников отде­ла. Приемные часы должны быть разными для сотрудников предприятия и лиц, не вхо­дящих в эту категорию. В часы приема по­сетителей работники отдела не должны выполнять функции, не связанные с при­емом, вести служебные и личные перегово­ры по телефону.

На столе работника, ведущего прием, не должно быть никаких документов, кроме тех, которые касаются данного посетителя. Ответы на вопросы даются только лично тому лицу, которого они касаются. Не до­пускается отвечать на вопросы, связанные с передачей персональной информации, по телефону или факсу. Ответы на правомер­ные письменные запросы других учрежде­ний и организаций даются в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональ­ных сведений.

Подбор персонала для работы в отделе кадров ведется с учетом требований, кото­рые разработаны для должностей, связан­ных с владением и обработкой конфиден­циальных сведений и документов. Здесь: анализ личностных и моральных качеств претендентов на должность; подписание обязательства о неразглашении защищае­мых сведений; оформление приказом пер­вого руководителя предприятия допуска к конфиденциальной информации; обуче­ние правилам защиты конфиденциальной информации и регулярное инструктиро­вание по отдельным вопросам защиты; контроль соблюдения действующих инст­рукций по работе с конфиденциальными до­кументами.

Иными словами, порядок функциониро­вания отдела кадров должен быть подчинен решению задач обеспечения безопасности персональных сведений, их защиты от раз­ного рода злоумышленников[13].

Передача персональных данных работников

Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных работника либо отсутствует письменное согласие работника на предоставление его персональных сведений, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.

Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.

Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.