редакции
Как компании организовать безопасный КЭДО
Кто отвечает за безопасность данных
Оформление любых кадровых документов неизменно сопряжено с обработкой персональных данных сотрудников компании. Под обработкой документа имеют в виду целый комплекс действий:
- сбор
- запись
- хранение
- систематизация
- обновление
- передача
- использование
- удаление
Работодатель в этом случае выступает в роли оператора персональных данных и несет ответственность за их сохранность. Если произойдет утечка чувствительных данных, компании грозит судебное разбирательство и штраф.
Работу оператора регулируют два нормативно-правовых акта:
- Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных».
- Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Чтобы избежать проблем с персональными данными, работодателю важно подойти к организации кадрового электронного документооборота комплексно.
Что обеспечивает безопасность КЭДО
Хранение данных
Существует два варианта размещения данных — локальное (на собственных серверах) и облачное (на удаленном сервере). У каждого варианта есть свои плюсы и минусы.
Локальное размещение (on-premise)
Локальный сервер обеспечивает высокий уровень контроля и защиты данных. Система КЭДО в этом случае развертывается во внутреннем контуре компании, что помогает снизить риск незаконного доступа к данным сотрудников. Кроме этого, в будущем можно будет доработать решение, чтобы оно закрывало больше задач.
При размещении данных on-premise, достаточно один раз получить письменное согласие сотрудников на обработку данных — потому что их видит только работодатель.
Минусы у локального размещения тоже есть:
— если собственного сервера нет, компании придется сначала на него потратиться;
— удаленным сотрудникам работать с локальной системой КЭДО чуть сложнее, чем с облачным решением. Облачные сервисы обеспечивают доступ к данным из любой точки мира. Это удобно для компаний с филиалами или удаленными сотрудниками. Однако такой подход несет риск утечки данных или несанкционированного доступа, а также требует дополнительной организации архива кадровых документов. Важно! Согласий на обработку персональных данных уже нужно два — одно для работодателя-оператора, а другое — для облачного провайдера. На что обратить внимание при выборе облачного КЭДО: У разных пользователей системы КЭДО должны быть разные права доступа к информации. Как правило, права зависят от роли в системе: — Сотрудник — видит свои документы и персональные данные, может создавать некоторые виды кадровых электронных документов и отправлять их на согласование; — Руководитель — к стандартным правам сотрудника здесь уже добавляется возможность согласовывать некоторые документы подчиненных; — Кадровик — может создавать любые документы и работать с ними, обычно видит персональные данные всех сотрудников; — Администратор — управляет правами всех остальных пользователей системы КЭДО, может отслеживать действия сотрудников, кадровиков и руководителей. Кроме настройки прав доступа, безопасная система КЭДО должна логировать процессы — отслеживать каждый шаг пользователей и уведомлять администратора о попытках доступа к чувствительным данным. В соответствии с законодательством, подписывать электронные документы можно тремя видами электронных подписей. Имеет юридическую силу? Только в случае, когда одновременно: — между работодателем и сотрудником заключено соглашение о взаимном признании ЭП, — порядок работы с ЭП закреплен в ЛНА. Что можно подписать? Ограниченный круг документов, типа объяснительной записки. Для стандартных кадровых документов обычно не используется из-за своей ненадежности. Нельзя подписывать документы, связанные с Гостайной. Имеет юридическую силу? Только в случае, когда одновременно: — между работодателем и сотрудником заключено соглашение о взаимном признании ЭП, — порядок работы с ЭП закреплен в ЛНА. Что можно подписать? Ограниченный круг документов, типа объяснительной записки. Для стандартных кадровых документов обычно не используется из-за своей ненадежности. Нельзя подписывать документы, связанные с Гостайной. Сотрудники могут подписывать НЭП любые кадровые документы. Представитель работодателя не может подписывать НЭП: — трудовой и ученический договоры; — договор на получение образования; — договор о материальной ответственности; — приказ о дисциплинарном взыскании. Имеет юридическую силу? Да, без дополнительных согласований. Что можно подписать? И сотрудник, и работодатель могут подписывать КЭП любые электронные документы. Система кадрового электронного документооборота должна уметь работать с любыми подписями, при этом постоянно проверяя срок их действия. Удобно, если в сервис сразу встроен выпуск НЭП и сотрудник может выпустить подпись за несколько минут. Чтобы снизить риск утечки данных, компании стоит позаботиться о регулярном аудите работы в системе КЭДО. Обычно этим занимаются специалисты по информационной безопасности. Вот что стоит периодически проверять: — надежность паролей пользователей; — актуальность списка пользователей с расширенными правами; — настройки уведомлений администраторов о сомнительных действиях в системе.
Размещение в облаке
Электронные подписи
Простая электронная подпись (ПЭП)
Неквалифицированная электронная подпись (НЭП)
Квалифицированная электронная подпись (КЭП)
Регулярный аудит