Татьяна Совина Кадровый аудитор, специалист по защите персданных

Сценарий управления персональными данными при приёме на работу. Часть 2

Продолжаем серию постов о безопасном приёме сотрудника. Сегодня — этап оформления приема на работу.

Содержание
Подписывайтесь на телеграм-канал «Совина ПроКадры».

Главный триггер: подписание трудового договора. С этого момента соискатель становится работником и запускаются действия сразу в нескольких подразделениях, но это не означает, что можно передавать ПДн работника всем подряд. Наша задача — дать каждому отделу только те атрибуты, которые действительно нужны для его процессов, с учётом категории работника.

От чего зависит объём передаваемых данных?

Объём и состав атрибутов определяются двумя вещами: категорией работника и тем, как у вас построены процессы. Например:

  1. Если принимаете водителя или работника, который будет пользоваться служебным авто — для оформления путевых листов нужны не только категория прав, но и сведения о самом водительском удостоверении и СНИЛС. Это уже иной объём данных, чем для офисного сотрудника.
  2. Для цели ведения воинского учета в форме 10 в настоящее время ВК делают замечание, если у военнообязанного не заполнены данные о водительском удостоверении (при его наличии).
  3. Если работник будет ездить в командировки, выясните, будут ли загранкомандировки и соответственно будут нужны данные загранпаспорта.
  4. Кстати, если, например, АХО организует командировки через сторонний сервис — происходит передача ПДн третьему лицу. Без согласия работника тут не обойтись, если это не подпадает под исключения (исполнение договора или закона). Проверьте, не остались ли данные предыдущих «командированных» в открытом доступе на таких сервисах.

Теперь пройдёмся по отделам.

Служба управления персоналом

Именно кадры координируют весь процесс после подписания ТД.

1. Сбор и проверка документов:

  • по подлинникам документов вносят сведения в ИС (например, 1С: ЗУП);
  • при необходимости (в строго определенных внутренними ЛНА случаях) снимаются копии только с тех страниц документов, которые содержат необходимые атрибуты (нотариальный перевод иностранного паспорта, миграционная карта, квитанция об оплате аванса по НДФЛ, миграционный учет, документ об образовании).
Важно
Никаких скан-копий «на всякий случай». Все копии сразу помещаются в личное дело или отдельное дело, в порядке, определенном внутренним документационным обеспечением и делопроизводством:

2. Оформление приёма:

  • издаётся приказ о приёме (на основании ТД);
  • заполняется форма 10 (если работник военнообязанный);
  • если сотрудник будет допущен к обработке ПДн (доступ к системам, бумажным документам, архиву) — берётся письменное обязательство о неразглашении, проводится знакомство с ответственным за организацию обработки ПДн. Данные о допуске фиксируются в списке допущенных лиц;
  • при необходимости оформляются согласия: на передачу данных в удостоверяющий центр (если оформляется ЭП для КЭДО или ЭДО).

3. Передача в смежные отделы только нужных атрибутов:

  • в бухгалтерию — для проведения выплат и расчетов по оплате труда и соц.гарантиям (компенсациям), в т.ч. дополнительные данные в связи с возмещением расходов по налогам и взносам, и это не те сведения, которые нужны в службе управления персоналом;
  • в ИТ — для создания учётных записей;
  • в АХО — для оформления пропуска, подготовки рабочего места, заказа визиток (при необходимости, в этом случае подумайте про согласие), администрирования командировок, организации и ведения корп.справочника;
  • в охрану труда — для организации и учета медосмотров, выдачи СИЗ, организации обучения;
  • в службу безопасности или диспетчерскую (для водителей и других работников, которые будут управлять служебным ТС или личным ТС, но в служебных целях) — сведения для заполнения путевого листа, доверенности на управление служебным ТС или для организации парковки на территории работодателя.

ИТ-отдел / Служба информационной безопасности

  • создаёт учётные записи и предоставляет доступ к ИС (почта, 1С, CRM, сетевые папки) строго по ролевой модели и матрице доступа, соответствующей должностным обязанностям;
  • при использовании внешних сервисов следит, чтобы не было утечек (внутренних и внешних), а также контролирует использование корпоративного ИИ и блокирует использование сторонних ИИ, особо уделяя внимание тем, которые локализованы за рубежом на основании учетных данных внутренних пользователей;
  • если оформляется электронная подпись — проверяет сертификат, привязывает к учётной записи.

Бухгалтерия

Для расчёта заработной платы и налогов получает строго определённые атрибуты через доступ к ИСПДн и защищённые сетевые папки.

Руководитель подразделения

Непосредственный начальник, обычно, получает ограниченные данные: ФИО, должность и контакты нового сотрудника — для постановки задач и включения в рабочие процессы. Доступ к личной и конфиденциальной информации руководитель может получить только в том случае, если это прямо предусмотрено его функционалом.

Вывод по второй части

Этап оформления приёма на работу закладывает фундамент для построения системы организации доступа к персональным данным. Каждый отдел получает только то, что ему действительно нужно, с учётом категории работника и построенных процессов. Отдельное внимание — обучение работников, имеющих допуск к ПДн, требованиям законодательства о перс.данных, заключение с такими работниками обязательства о неразглашении и учет процессов, связанных с взаимодействием с третьими лицами при передаче / предоставлении доступа к ПДн или работе в облачных сервисах провайдеров.

Следующим на очереди будет разбор третьего этапа — первый рабочий день и старт онбординга.

Пишите вопросы, комментарии и делитесь своими эмоциями, мне, как автору — это очень важно.

Эксперт с 20-летним опытом в кадровом консалтинге, 5 из которых — специализация по персданным. Провела 300+ аудитов. Автор курсов и спикер. Основатель онлайн-школы «Совина ПроКадры».