Обработка персональных данных сотрудников: нововведения, порядок хранения

Как организовать хранение персональных данных в организации кадровой службой? Правила хранения и использования устанавливаются работодателем во внутренней документации предприятия — политике обращения с ПДн.

Законы не определяют правила хранения персональных данных. Работодатель сам выбирает удобный для него, учитывая:

• положения Закона об архивах;
• доступ к персональным данным лиц, уполномоченных на обработку, и иных лиц;
• способы работы с ПД, оформленными на бумаге или в ИСПДн;
• порядок сбора и переработки, установленный локальным документом.

Что можно предпринять для обеспечения безопасности персональных данных в компании?

Сформулировать требования к месту хранения персональных данных сотрудников, значит:

1. Объяснить, что гарантирует сохранность конфиденциальной информации, и как исключить свободное проникновение или нахождение в помещении посторонних лиц.
2. Детализировать требования к лицам, ответственным за обработку ПДн.
3. Определить способы хранения персональных данных, содержащихся в формах: сейфы, шкафчики и т. д.

Важно! Статья 18.1 № 152 Федерального закона регламентирует, какие меры могут быть приняты оператором и лицом, ответственным за охрану ПД. Условия, гарантирующие надлежащую защиту персональных данных, подробно описаны в ПП от двадцать первого марта 2012 г. № 211 и ПП от пятнадцатого сентября 2008 г. № 687.

К носителям биометрических данных предъявляются особые требования. Постановлением от 06.07.2008 № 512 установлен особый порядок хранения указанной информации.

Срок действия и срок хранения согласия на обработку персональных данных

Не путайте фактические персональные данные и письменное согласие на их обработку! В статье 5 № 152-ФЗ говорится о ПИД – это ФИО, дата рождения, паспорт и другие сведения о личности субъекта.

Согласие на обработку персональных данных – устное/письменное разрешение гражданина, которое предоставляется заинтересованному лицу на совершение определенных действий с персональными данными о себе.

Срок хранения персональных данных работника предусмотрен ст. 5 п.7 № 152 ФЗ. При достижении цели обработки ПДн персональная информация обезличивается, уничтожается, если на нее не распространяются иные правила, например, федеральные законодательные.

Срок действия разрешения субъекта на обработку его данных устанавливается на основании п. 4/8 ст. № 9 № 152-ФЗ, то есть до даты, указанной в самом документе. Хранение согласий на обработку персональных данных регулируется Приказом Федерального архива от 20 декабря 2019 N 236 — 3 года после окончания этой даты или отзыва, если иное не предусмотрено федеральными законами, договорами.

Просить предоставить какие-либо еще документы нельзя!

Сбор, обработка и хранение персональных данных при наличии судимости могут осуществляться муниципальными или государственными учреждениями в пределах полномочий, предоставленных им законодательством Российской Федерации. В иных случаях этот порядок определяется иными федеральными нормативными актами.

Трудовой кодекс РФ устанавливает документы и персональные данные, которыми может оперировать работодатель. Это трудовой договор (ст. 57 ТК РФ), в нем указываются:

• ФИО сотрудника;
• паспортные данные;
• трудовая книжка;
• приказ о приеме на работу и так далее.

Для идентификации при приеме на работу работник должен назвать свое ФИО и предоставить документ, удостоверяющий его личность. Поэтому инспекторы Роскомнадзора считают, что хранение копий страниц паспорта превышает объем необходимых персональных данных.

Подсказка. Пример с копиями страниц паспорта показывает, что их хранение не гарантирует достоверность и актуальность личной информации. Только оригинал является достоверным источником информации. Это утверждение верно в отношении дубликатов паспортов и других документов.

Особое внимание Роскомнадзор уделяет номенклатуре документов, находящихся в личных делах и папках сотрудников.

Формирование личного дела сотрудника

Личное дело представляет собой систематизированный набор бланков, в которых содержатся персональные данные работника. Это папка с документами, которые формируются и подшиваются за все время работы конкретного сотрудника в компании.

Важно! Требования к формированию и ведению кадрового дела законодательством не установлены. Ведение личных дел нормируется только в отношении государственных служащих в № 79-ФЗ.

Что касается других организаций, то у них нет такой обязанности. Кадровые дела ведутся для оптимизации рабочего процесса сотрудников, а их содержание определяет сам работодатель, исходя из собственных потребностей.

Как определить срок хранения документов, содержащих персональные данные, в личном деле работника:

• ст. 22.1 Закона от 22.10. 2004 г. № 125-ФЗ;
• Приказ Федерального архива от 20 декабря 2019 г. N 236.

Важно! На вопрос: можно ли хранить копии? Роструд ответил в отчете за II квартал 2017 года. Разрешил изготовление и хранение дубликатов документов с персональными данными с согласия на их обработку, однако рекомендуем после получения и фиксации сведений для оформления трудовых отношений вернуть документы работнику без снятия с них копий.

Статья № 5 закона № 152-ФЗ сформулировала требование к сроку хранения персональных данных — не дольше достижения целей обработки, за исключением условий, предусмотренных законодательством. Это правило установлено в отношении хранения самих персональных данных, а не дублирования документов, включающих их. В этом смысле обнаружение дубликатов бланков с персональными данными в личном деле или папке работника проверяющим признается нарушением законодательства об избыточности персональных данных применительно к заявленным целям их обработки.

Примечание! Вам не нужно утилизировать все копии документов, а только те, которые не имеют цели хранения.

Если хранение дубликатов документов с конфиденциальной информацией необходимо для соблюдения требований законодательства, для иных целей, определяемых работодателем (например, копии документа об образовании при направлении работника на учебу для предъявления в центр образовательного учреждения), такие дубликаты можно хранить.

Подсказка. Рекомендуем установить в местном законодательстве систему хранения персональных данных, содержащихся в дубликатах документов. В согласии внести пункт о том, что помимо обработки указанных данных сотрудник разрешает хранение копий документов, содержащих персональные данные о нем.

Постарайтесь избавиться от практики размещения ненужных копий в папках, которые могут пригодиться «на всякий случай». Существует большой риск привлечения вас к административной ответственности, указанной в статье 13.11 КоАП, за обработку персональных данных не в целях, установленных для обработки.

Согласие подчиненного на обработку ПД

Трудоустройство человека напрямую связано с предоставлением личной информации работодателю. На этапе отклика на вакансию эта информация включает ФИО, возраст, адрес проживания и регистрации, семейное положение, данные об образовании.

По мере увеличения стажа в личном деле работника появляются такие документы, как наряд на работу, трудовой договор, трудовая книжка.

Каждый работодатель, заключая трудовой договор с работником, становится собственником его персональной информации. В соответствии с требованиями федерального законодательства, если компания осуществляет обработку персональных данных работников, необходимо наличие согласия каждого из них на совершение действий с персональными данными.

Однако законом предусмотрены и исключения из этого требования:

• Если получение и использование ПДн необходимо для обеспечения защиты жизни и здоровья субъекта персональных данных (в случае невозможности получения их согласия). Такое исключение позволит обрабатывать ПДн без согласия только в течение короткого периода времени.
• Если есть договор с родственником лица, и этот договор осуществляется в пользу этого лица. Если получить разрешение субъекта категорически невозможно, то такой выход будет единственным решением проблемы, например, при проверке Роскомнадзором.

Вышеуказанные исключения применяются только к общей категории персональных данных. Работа с конфиденциальными данными, такими как политические и религиозные взгляды, требует согласия субъекта.

Места, где хранятся личные данные

В зависимости от формы, персональные данные могут храниться:

• на бумаге;
• в электронном виде.

Современные компании всегда дублируют личные материалы сотрудников, параллельно сохраняя их как на бумаге, так и в компьютерной базе данных. Эти материалы находятся в большинстве случаев в бухгалтерии или в отделе кадров компании. Обязательным условием обеспечения сохранности бумажных ПД является их хранение в несгораемых сейфах.

Для материалов об уволенных сотрудниках в компании существует специальный архив, в который заносятся и хранятся личные дела до истечения срока хранения. После этого материалы уничтожаются.

Данные в электронном виде хранятся в базе данных компьютерной сети компании, и обязательно с созданием резервной копии на случай удаления или выхода из строя программного обеспечения.

Соблюдение правил хранения персональных данных сотрудников крайне важно. Нарушение этих требований влечет за собой административную и уголовную ответственность. В соответствии со статьей 87 ТК РФ, порядок хранения и использования персонифицированной информации о работниках разрабатывается и утверждается работодателем.

Закон устанавливает конкретные сроки хранения различных документов, содержащих персональные данные сотрудников:

• приказы и выдержки из них, меморандумы, официальные письма, списки поездок хранятся в течение 5 лет;
• автобиографии, анкеты с данными, заявления сотрудников, графики учета персонала хранятся 3 года;
• платежные ведомости и другие документы о выплате пособий и заработной платы хранятся в течение 75 лет.

Обработка ПД на бумаге

Самое главное правило заключается в том, что использование персональных данных работника на бумажных носителях осуществляется только на основании федерального закона, а именно ст. 24 Конституции РФ:

• любые действия с персонифицированной информацией о человеке недопустимы без его согласия;
• государственные органы и службы самоуправления должны обеспечить гражданам возможность ознакомления с документами, затрагивающими их права и свободы.

При обработке персональных данных сотрудников организации необходимо учитывать ряд требований:

1. Использование личных материалов должно осуществляться только в рамках трудового договора.
2. Все документы и материалы предоставляются непосредственно его владельцем.
3. Если необходимые компании данные о сотруднике обнаружены в стороннем источнике, то на использование его ПДн требуется письменное согласие этого сотрудника.
4. Органы власти не вправе собирать и хранить информацию о личной жизни работника без его согласия (если иное не предусмотрено законом).
5. Передача личной информации третьим лицам запрещена.
6. Личные документы подчиненных, такие как паспорт, свидетельство о рождении, свидетельство о браке, ИНН, передаются работодателю для ознакомления и ксерокопии для дальнейшего хранения, а оригиналы возвращаются работнику. Такие документы, как трудовая книжка, трудовой договор, приказы хранятся в оригинале.
7. Все личные дела сотрудников должны быть в папках в алфавитном порядке.
8. Все папки с личными документами должны находиться в сейфе, ключ от которого должен быть только в руках начальника, главного бухгалтера и начальника отдела кадров.
9. Работники отдела кадров в обязательном порядке должны проводить инструктажи о порядке и правилах предоставления и обработки персональных данных.

Обработка ПД в электронном виде

Законодательством не установлены специальные требования к электронным данным о сотрудниках. Есть только несколько определенных правил:

1. Использование ПДн на электронных носителях должно осуществляться в соответствии с вышеуказанными нормами законодательных актов.
2. Для данных в электронном формате необходимо указывать информацию, относящуюся к ДП. С небольшим дополнением: к ним также относятся учетные записи электронной почты, социальные сети.
3. Все документы сотрудников, поступающие в компанию, должны быть отсканированы и занесены в личное дело в электронной базе данных.
4. Доступ к базе данных имеют директор компании и его заместители, главный бухгалтер и начальник отдела кадров, а также системные администраторы (программисты). Кроме того, для каждого из них создается персонально логин и пароль для входа в электронную базу данных.
5. Параллельно создается резервная копия базы данных, которая хранится на съемном носителе (диск, жесткий диск).
6. Данные в электронном формате, как и на бумаге, должны быть защищены. Для защиты электронных персональных данных используются следующие способы:

• интегрирована индивидуализированная система доступа пользователей;
• доступ сотрудников в те помещения, где находятся компьютеры (серверы) с базой данных, ограничен;
• осуществляется надежная организация хранения носителей информации.

Передача ПД за границу

Федеральным законом Российской Федерации установлено, что международной или трансграничной передачей персональных данных является направление ПДн на территорию другого государства иностранному физическому или юридическому лицу либо представительству государственного органа. В большинстве случаев это включает отправку данных в агентства ООН.

Если международная пересылка ПДн находится в небезопасном состоянии, необходимо иметь соглашение с владельцем персональной информации, предусматривающее это действие, либо получить его письменное разрешение.

План действий работодателя по работе с личными материалами сотрудников:

• Работодатель создает и принимает специальный закон, регулирующий процесс хранения и обработки персональных данных. Часто это Положение о персональных данных, предназначенных для проверки сотрудниками фирмы. Ознакомление возможно только с печатными СМИ: распространение Положения по электронной почте не соответствует требованиям закона. При проведении проверки компании Роскомнадзор запрашивает этот документ для проверки. При отсутствии или отсутствии подписей работника работодатель может быть привлечен к административной ответственности/
• Следующий важный документ, составляемый работодателем, – это акт, содержащий перечень персональных данных, которые будут использоваться в организации. Так же в этом законе указаны конкретные бумаги, содержащие данные о сотрудниках, которые компания передает на госуслуги;
• Работодатель издает приказ об утверждении лица, которое будет осуществлять сбор, хранение, обработку и иные действия с персональными данными, а также обеспечение их безопасности, на должность оператора ПДн.
• Для проверки необходимо иметь готовые заявления сотрудников о согласии на обработку персональных данных, регистрации и передачи персональных данных;
• Вся документация, содержащая личную информацию о сотрудниках, должна храниться в сейфах. Данные в электронном виде — содержатся в базе данных под паролем и имеют резервную копию.

Во избежание привлечения к ответственности необходимо соблюдать все вышеперечисленные пункты и уделять особое внимание безопасности персональных данных, так как с 2017 года федеральным законодательством ужесточена ответственность работодателей за несоблюдение требований к безопасности персональных данных. Законодательство Российской Федерации требует уничтожения или обезличивания всей персональной информации работников при отпадении необходимости в ее использовании и хранении.