четверг, 29 октября 2015 г.

Кадровый электронный документооборот. Особенности. Внедрение. Сложные моменты

В настоящее время все больше организаций задумываются об оптимизации своей деятельности в части улучшения и ускорения внутреннего документооборота, включая кадровый. Многие из них пошли по пути внедрения различных информационных систем, но, несмотря на это, электронный кадровый документооборот по-прежнему остается terra incognita для подавляющего большинства организаций и ИТ-служб. В настоящей статье мы рассмотрим ключевые вопросы, на которые необходимо обратить внимание специалистам кадровых служб, изыскивающих возможность перейти на безбумажную форму работы с кадровыми документами.
Правовое регулирование требований к информационным системам с электронным документооборотом

Перевод кадрового документооборота в электронный вид заметно отличается от внедрения обычных информационных систем электронного документооборота (СЭДО), не затрагивающих кадровое делопроизводство.

Наша справка

Уполномоченными федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:
  • Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) – осуществляет контроль и надзор за соответствием обработки персональных данных требованиям законодательства.
  • ФСТЭК России (Федеральная служба по техническому и экспортному контролю) – устанавливает методы и способы защиты информации в информационных системах в пределах своих полномочий.
  • ФСБ РФ (Федеральная служба безопасности РФ) – устанавливает методы и способы защиты информации в информационных системах в пределах своих полномочий (регулирует сферу использования криптографических средств).
Самое главное – кадровые СЭДО подпадают под действие Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных», который устанавливает требования к оператору персональных данных (ПДн) и его информационным системам. Подробно требования к информационным системам, содержащим персональные данные, указаны в документе, утвержденном Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – Требования). Самое существенное в этой области – требования законодателя об обязательности мер по защите персональных данных.

Знакомясь с этим документом, следует обратить особое внимание на то, что в соответствии с п. 6 Требований угрозы информационной безопасности персональных данных для кадровых СЭДО в подавляющем большинстве организаций могут быть классифицированы как угрозы минимум 1-го типа (недекларированные возможности системного программного обеспечения) и 2-го типа (недекларированные возможности прикладного программного обеспечения).

Пункты 8–11 указанных Требований описывают 4 уровня защищенности информационных систем, при этом для большинства организаций, обрабатывающих персональные данные только своих работников и не оперирующих персональными данными третьих лиц, Требования указывают на необходимость обеспечения 2-го уровня защищенности информационной системы.

В соответствии с п. 15 Требований организация-оператор персональных данных для достижения 2-го уровня защищенности информационной системы должна:
  • организовать режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права в них находиться;
  • обеспечить сохранность носителей персональных данных;
  • обеспечить утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
  • обеспечить использование средств защиты информации, прошедших оценку соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
  • назначить должностное лицо (работника), ответственное за обеспечение безопасности персональных данных в информационной системе;
  • сделать так, чтобы доступ к содержанию электронного журнала сообщений информационной системы имелся исключительно у должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Все кадровые СЭДО должны не реже 1 раза в 3 года проходить аудит на предмет соответствия требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», причем этот контроль может проводиться организацией как самостоятельно, так и с привлечением на договорной основе юридических лиц/индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»). Такие лицензии выдаются ФСБ РФ в соответствии с Постановлением Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
Следует учесть, что должностное лицо организации, ответственное за обеспечение безопасности персональных данных, должно обладать соответствующей квалификацией, поэтому при определении требований к данному работнику нужно ориентироваться на Постановление Правительства РФ № 1119 и Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Рекомендуется включить в требования к должности, зафиксированные в должностной инструкции, соответствующие положения, например, о необходимости прохождения курсов повышения квалификации по теме «Защита персональных данных» продолжительностью не менее 72 ч. в лицензированном учебном центре или наличия профильного высшего образования в сфере защиты информации.

Возможно, в вашей организации есть подразделение, в обязанности которого входит защита информации или защита коммерческой тайны. И в составе такого подразделения, скорее всего, уже есть сотрудник, чья квалификация позволяет обеспечивать выполнение требований закона «О персональных данных» и получать положительные заключения по результатам проверок регулирующими органами.

Правовой статус электронных подписей и их использование в кадровом делопроизводстве 

Функционирование системы электронного документооборота неотделимо от использования специального вида собственноручной подписи для лиц, участвующих в совершении юридически значимых действий в кадровом делопроизводстве. Речь идет о так называемых электронных подписях (ЭП).

Это надо знать

Любое использование ЭП в электронном кадровом документообороте внутри организации необходимо оформить локальными нормативными актами, что следует из смысла ст. 6 Закона № 63-ФЗ. Это могут быть следующие документы: Приказ «Об утверждении и введении в действие Регламента удостоверяющего центра», Приказ по личному составу «О возложении обязанностей по реализации положений Регламента удостоверяющего центра», Приказ «О порядке учета, хранения и использования должностными лицами организации электронной подписи, выданной удостоверяющим центром» и другие локальные нормативные акты. В случае принятия данных актов и ознакомления с ними сотрудников организации, документы, подписанные по соответствующим Закону № 63-ФЗ процедурам, признаются, по действующему законодательству, подписанными.

На территории России порядок создания и использования электронной подписи в настоящее время регулируется Федеральным законом № 63-ФЗ от 06.04.2011 «Об электронной подписи». Ранее действовавший закон № 1-ФЗ «Об электронной цифровой подписи» утратил силу 1 июля 2013 г.

В соответствии со ст. 5 № 63-ФЗ различаются 2 вида электронных подписей: простая и усиленная. Усиленная ЭП, в свою очередь, разделяется на 2 подвида: квалифицированная усиленная ЭП и неквалифицированная усиленная ЭП. Отличие между ними заключается в том, что квалифицированная подпись может быть выдана только специализированной организацией – аккредитованным удостоверяющим центром, неквалифицированная – удостоверяющим центром. Требования к деятельности удостоверяющих центров изложены в ст. 13, порядок их аккредитации – в ст. 16 Закона № 63-ФЗ.

Для электронного кадрового делопроизводства внутри организации интерес представляет только усиленная ЭП. При этом компания при желании может создать собственный удостоверяющий центр, который (при условии соблюдения в своей деятельности требований действующего законодательства) будет выдавать неквалифицированные усиленные ЭП своим сотрудникам. В соответствии с общими нормами права, все, что прямо не запрещено Законом, – разрешено. Федеральное законодательство не запрещает организациям учреждать собственные удостоверяющие центры. Удостоверяющий центр организации может быть впоследствии аккредитован в порядке, установленном Законом.
Для подписания электронных документов, применяемых в отношениях между работником и работодателем, стоит рассмотреть вопрос об использовании руководителем организации квалифицированной усиленной ЭП. В противном случае при проверках контролирующих органов и возможных трудовых спорах использование неквалифицированной ЭП повлечет риск признания локальных актов работодателя (графика отпусков или приказа о наложении дисциплинарного взыскания) недействительными или отсутствующими с соответствующими правовыми последствиями.

Важно

Напоминаем, что до сих пор действует Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну». В соответствии с этим документом все полученные сотрудниками носители электронной подписи должны быть выданы под расписку в соответствующем журнале поэкземплярного учета. Сотрудники организации несут персональную ответственность за их сохранность.

Более того, в большинстве организаций руководитель для сдачи налоговой отчетности уже имеет квалифицированную усиленную ЭП, выданную одним из аккредитованных удостоверяющих центров. Такие же подписи используются при участии организации в торгах на электронных площадках в соответствии с Федеральным законом от 21.07.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд», Федеральным законом от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» и Федеральным законом от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд».

К некотором недостаткам усиленной квалифицированной ЭП можно отнести недолгий срок использования – 1 год с момента ее создания; по истечении этого срока данную подпись невозможно применять для подписания новых электронных документов1. В деловой практике УЦ выдают подписи сроком действия не более 1 года (для сдачи налоговой отчетности и т.п.). Можно заказать усиленную квалифицированную ЭП иного срока действия, если регламент УЦ это позволяет. Менее чем на 1 год ЭП заказать можно, если УЦ предлагает такую услугу. Цена ЭП на 3 месяца может быть равной цене ЭП на 1 год. Истечение годичного срока не означает недействительности подписанных ранее квалифицированной ЭП документов, они остаются юридически значимыми. Необходимо ежегодно получать для руководителя новую ЭП в аккредитованном удостоверяющем центре, а услуга удостоверяющего центра по выдаче ЭП является платной.

С точки зрения возможности использования ЭП в различном программном обеспечении (ПО) следует отметить, что российское и зарубежное программное обеспечение, в работе с которым может быть использована ЭП, функционирует в основном на платформе Microsoft Windows2.

Однако и использование организацией свободно распространяемого программного обеспечения Linux не накладывает технологического ограничения на использование ЭП, соответствующей требованиям Закона № 63-ФЗ. Хорошо известная ИТ-специалистам система PGP и ее свободно распространяемая реализация GnuPG обеспечивает возможность создавать усиленные неквалифицированные ЭП, соответствующие требованиям ст. 5 Закона № 63-ФЗ, для использования внутри организации в целях обеспечения ее собственных нужд. Единственное ограничение – в государственных и муниципальных учреждениях используемые ЭП должны соответствовать требованиям криптографической защиты, предъявляемым Федеральной службой безопасности, а в случае приобретения ЭП у поставщика – поставщик должен обладать лицензией ФСБ3.

Плюсы и минусы
Основной плюс при введении кадрового электронного документооборота – это, естественно, уменьшение трудозатрат и числа составленных, обработанных, согласованных и хранимых бумажных документов.
А вот минусы для каждого из основных документов – свои.
Прежде всего, это штатное расписание, отсутствие которого в бумажном виде может привести к некоторым сложностям в случае возникновения трудовых споров при рассмотрении их судом: разрастание доказательной базы, которую необходимо предоставить суду для обоснования законности увольнения по сокращению (отсутствие вакантных должностей и т.п.). Однако предугадать более широкие риски отсутствия штатного расписания в бумажном виде достаточно сложно. А при правильном ведении электронного документооборота доказательная база собирается в полном объеме гораздо быстрее за счет распечатки данных из электронной базы. Согласитесь, что это проще, чем механически копировать данные с бумажных носителей. Каким образом доказать суду, что этот электронный распечатанный документ является полным аналогом обычного бумажного штатного расписания – отдельный вопрос.
В Письме Роструда от 09.01.2013 № 2-ТЗ «О формах первичных учетных документов (документов по учету кадров и по учету рабочего времени и расчетов с персоналом по оплате труда), применяемых негосударственными организациями с 1 января 2013 г.» говорится о том, что «с 1 января 2013 г. негосударственные организации вправе пользоваться формами первичных учетных документов (в том числе формой № Т-2), разработанными ими самостоятельно».
Если буквально трактовать данную норму, то отсутствие бумажных форм личной карточки работника и табеля учета рабочего времени не может стать нарушением и повлечь какое-либо наказание за отсутствие бумажной копии данного документа. Главное, чтобы в электронной форме были указаны все закрепленные законодательством реквизиты, т.к. того требуют Постановление Госкомстата № 1 от 05.01.2004 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты» и Приказ Минкультуры № 558 от 25.08.2010 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения». Однако следует помнить, что с некоторыми записями сотрудник должен быть ознакомлен под роспись, а работник, ответственный за ведение личной карточки, должен заверять все вносимые исправления своей подписью. Также напомним, что, согласно приказу Минкультуры России от 25.08.2010 № 558, личная карточка работника должна храниться 75 лет.
При наличии в организации сменного графика работы, в соответствии со ст. 103 ТК РФ, с графиками сменности сотрудники должны быть ознакомлены не позднее чем за месяц до их введения. Таким образом, при отсутствии бумажного документа с подписями работника (-ов) об ознакомлении есть риски невыхода сотрудника на работу в смену и, как следствие, возникновения трудовых споров при увольнении за прогул.
При оформлении приказов по личному составу (прием, перевод, увольнение работника, дисциплинарные взыскания) возможные риски имеют как правовой, так и организационный характер. С точки зрения права при использовании неквалифицированной ЭП может возникнуть ситуация, когда центра сертификации в организации больше нет, и, следовательно, доказать, что подписанные такой ЭП приказы имеют юридическую силу, может быть проблематично. С организационной точки зрения нужно иметь в виду, что работник может обратиться с письменным заявлением с просьбой выдать копию приказа. Каким образом юридически безукоризненно выполнять такие просьбы – организации лучше определить до внедрения СЭДО. Заметим, что помимо запроса работника компания может получить требование суда о выдаче копий документов – невыполнение требования суда влечет вполне определенные правовые последствия.
Обязательным документом является график отпусков, его отсутствие – нарушение ст. 123 ТК РФ. Федеральный закон «О бухгалтерском учете» от 06.12.2011 № 402-ФЗ предусматривает возможность самостоятельной разработки и утверждения своих форм документов – при этом они должны содержать все обязательные реквизиты в соответствии с действующим законодательством. В противном случае при проверке документ может быть признан недействительным из-за нарушения правил оформления.
Своевременное уведомление сотрудника о дате начала очередного отпускаобязательно для работодателя в соответствии со ст. 123 ТК РФ: «О времени начала отпуска работник должен быть извещен под роспись не позднее чем за две недели до его начала». В случае электронного документа придется контролировать, что работник не забыл использовать свою ЭП и подписал документ в кадровой СЭДО. Некоторые риски добавляет несоблюдение ст. 136 и 236 ТК РФ – нарушение сроков оплаты отпуска, обязанность компенсации несвоевременной выплаты отпускных.
Заявление на отпуск может быть оформлено в электронном виде, но в случае неисправности СЭДО возникает риск непредоставления отпуска по графику, увольнения за прогул с возникновением трудового спора, а также привлечения к уголовной ответственности должностных лиц организации при неначислении и невыплате «отпускных».

Некоторые риски информационной безопасности при использовании кадрового документооборота

При использовании СЭДО необходимо понимать, что риск уничтожения или утраты единственного экземпляра кадрового электронного документа влечет заметные правовые проблемы для компании. Должны быть приняты организационные и технические меры, направленные на максимальное уменьшение4 данного риска, – обязательно нужно делать резервные копии электронных документов, а также организовать их правильное хранение. В случае чрезвычайных обстоятельств (например, пожар, затопление помещений или разрушение строительных конструкций в результате техногенной катастрофы/землетрясения) содержание и работоспособность кадровой СЭДО следует по возможности быстро восстановить, а резервные копии электронных документов не должны быть утрачены ни при каких обстоятельствах.
Существует риск приостановки нормальной работы кадровой службы при недоступности или неисправности СЭДО. Для такого случая должен быть создан порядок перехода на бумажный кадровый документооборот, а также порядок внесения в СЭДО созданных за этот период времени бумажных документов – после восстановления ее работоспособности.
Естественно, не надо забывать о риске намеренного или случайного изменения содержания электронного документа (включая изменение резервных копий). В этом случае документ должен быть снова подписан участниками документооборота с применением надлежащих ЭП, в противном случае с правовой точки зрения будет считаться, что данный документ не подписывался никогда, т.е. он не существует и никогда не существовал. Правовые последствия этого факта вы можете оценить самостоятельно. Нужно учитывать, что в СЭДО может вообще отсутствовать функционал, позволяющий подписывать электронные документы «задним числом».

Итоги

Если кратко резюмировать текущее состояние дел в области кадровых СЭДО, то можно обнаружить, с одной стороны, наличие несомненных преимуществ использования электронного кадрового документооборота и, с другой стороны, возникновение существенных правовых рисков для организации любой формы собственности.
Имеется высокий уровень рисков из-за отсутствия у судов практики рассмотрения трудовых споров при использовании электронного документооборота в трудовых взаимоотношениях и незначительного количества экспертов, которые могут участвовать в судебном процессе по вопросам кадрового электронного документооборота.
Необходимость реализовать существенный объем организационных и технических мер при внедрении и использовании исключительно электронного кадрового документооборота делает далеко не очевидным улучшение экономических показателей деятельности организации. Стоимость внедрения кадровой СЭДО может быть достаточно хорошо оценена, стоимость эксплуатации – более-менее хорошо посчитана, а вот с размером экономии денежных средств и сроком самоокупаемости СЭДО ошибиться легко – если неправильно оценить возникающие сложные правовые риски.
Таким образом, можно назвать один из немногих вариантов, который может быть предложен кадровой службе: использование электронного документооборота при составлении и согласовании обязательных форм кадровых документов в организации. При этом итоговые формы документов, наличие которых обязательно по действующему законодательству, необходимо создавать и хранить в юридически безупречном бумажном виде.
От автора. Статья написана с точки зрения кадрового сотрудника организации, защищающего ее интересы. Риски работников осознанно исключены из рассмотрения – о них кадровик может подумать сам на основе материала статьи.

Нормативные документы

1. Федеральный закон № 152-ФЗ «О персональных данных».
2. Федеральный закон № 63-ФЗ «Об электронной подписи».
3. Постановление Правительства РФ № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».
4. Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
5. Постановление Госкомстата № 1 «Об утверждении унифицированных форм первичной отчетной документации по учету труда и его оплаты».
6. Приказ ФСТЭК России № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
7. Приказ ФАПСИ № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
8. Приказ Минкультуры № 558 об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».
9. ГОСТ Р ИСО/МЭК 17 799–2005 (ISO/IEC 17 799:2000) «Практические правила управления информационной безопасностью».
10. ГОСТ Р ИСО/МЭК 27 005–2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»
Елена Хоруженко — эксперт журнала «Кадровик»

1 Это определяется Регламентом УЦ (см., например, Регламент Удостоверяющего центра ООО «Компания «Тензор» – СБИС+, регламент УЦ СКБ «Контур».
2 См.: http://lpost.ru/web/2013/02/01/windows-8-nabiraet-oborotyi-v-to-vremya-kak-ryinochnaya-dolya-windows-7-snizhaetsya/ или http://www.vestifinance.ru/articles/25692
3 Постановление Правительства Российской Федерации от 16 апреля 2012 г. № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» – это если делать ЭП для сторонних заказчиков, а не для «себя».
4 В соответствии с принятой классификацией способов обработки риска есть понятие снижения риска. В отличие от термина «минимизация риска» конструкция «максимальное уменьшение» подчеркивает, что необходимо приложить «максимум усилий для минимизации риска».

Источник: здесь

Подробнее:http://delovoymir.biz/2014/02/06/kadrovyy-elektronnyy-dokumentooborot-osobennosti-vnedrenie-slozhnye-momenty.html

Комментариев нет:

Отправить комментарий