Положение о хранении персональных данных работников

Защита персональных данных
с помощью DLP-системы

30 дней для тестирования «КИБ СерчИнформ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Заключая трудовой договор, сотрудник передает организации свои персональные данные. Компания, обрабатывая их в соответствии с требованиями законодательства, обязана обеспечить их хранение таким способом, чтобы избежать возможности утечки или неправомерного использования.

Нормативно-правовое регулирование

В деятельности каждой организации возникает необходимость разработки регламентирующих документов. Разработка такого локального нормативно-правового акта компании как Положение о хранении персональных данных работников, предусматривается двумя Федеральными законами – Трудовым кодексом и законом «О персональных данных». В кодексе прямо указывается обязанность компании не только издать документ, но и ознакомить с ним персонал. Также отдельные нормы, которые могут быть включены в документ, содержатся в нескольких постановлениях Правительства России, в том числе № 1119 и в Указе Президента № 609, посвященном данным государственных служащих.

Также ряд норм технического характера, регламентирующих особенности хранения персональных данных работников, находится в приказах ФСТЭК РФ. Ни один из нормативных актов не дает конкретных указаний по вопросу составления Положения, поэтому каждая компания вправе использовать собственные наработки о том, как именно осуществлять обработку и хранение персональных данных и какие разделы включать в документ.

Разработка и утверждение Положения

Как любой внутренний документ, Положение о хранении персональных данных сотрудников разрабатывается уполномоченными подразделениями. Так как документ имеет комплексный характер и затрагивает различные сферы деятельности – от документооборота до компьютерных технологий, в его подготовке обычно принимают участие:

  • административное подразделение, отвечающее за хранение документов по компании в целом;
  • отдел кадров;
  • юридическое подразделение;
  • отдел, обеспечивающий автоматизацию.

Утверждается документ генеральным директором компании путем издания приказа. Его отсутствие повлечет за собой множество неблагоприятных следствий. Если организация является оператором персональных данных, то факт отказа от разработки Положения будет выявлен во время проверки Роскомнадзора, что повлечен за собой предписание об устранении нарушений законодательства. Кроме того, на факт отсутствия документа будет обращено внимание в случае проведения контрольных мероприятий трудовой инспекции.

Структура Положения

Организация вправе в одном распорядительном документе объединить и нормы, касающиеся хранения персональных данных, и нормы, посвященные их обработке. Но в ряде случаев целесообразно разработать отдельный документ, посвященный именно хранению сведений, например, для крупной компании с большим штатом сотрудников и филиалами в различных городах, в ситуации, в которой невозможно обеспечить централизованное хранение персональных данных. При создании документа такого характера в нем окажутся следующие разделы:

  • общие положения, содержащие ссылки на нормативные акты, и определения терминов, используемых в документе;
  • перечень сведений, относящихся к персональным данным сотрудников и подлежащих хранению;
  • порядок сбора информации;
  • организация хранения информации, находящейся на материальных носителях. К ним относятся личные дела, учетные карточки, фотографии, трудовые договоры, копии документов. В отдельный раздел может быть выделен блок о порядке ведения работодателем личных дел сотрудников;
  • организация хранения сведений в информационных базах данных. В этом разделе обычно указываются программные продукты, при помощи которых осуществляются хранение и обработка данных;
  • организация режима доступа к данным, определение ответственного подразделения, лиц, отвечающих за хранение данных, порядок предоставления и отзыв доступа;
  • период хранения данных, способы их уничтожения в случае, когда это позволяется сроками сохранности документов кадрового учета или когда субъект персональных данных отозвал свое согласие на их обработку;
  • заключительные положения, порядок внесения изменений в документ.

Положение о персональных данных размещается на сайте компании таким образом, чтобы все сотрудники всегда имели к нему доступ. После принятия документа производится ознакомление с ним работников под роспись с целью выполнения требований ст. 87 ТК РФ.

Разработка и принятие документа должны обеспечить соблюдение законодательства в сфере хранения персональных данных и обеспечения их безопасности.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними