Порядок хранения и использования персональных данных работников

Главная — Бизнес-задачи — Защита персональных данных — Хранение персональных данных — Порядок хранения и использования персональных данных работников

ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Персональные данные – это любые, в том числе конфиденциальные, сведения о человеке, в этом контексте называемом субъектом ПДн. Поэтому для любого предприятия, имеющего штат сотрудников, о которых хранится информация в его базе, важно правильно обращаться с этой информацией.

Все действия с ПДн: получение разрешения субъекта на их использование, хранение информации на бумажных и электронных носителях, передача ПДн за границу, организация всех видов обработки личных данных сотрудников – должны осуществляться в правовом поле, о чем гласит ФЗ № 152 «О персональных данных».

Согласие субъекта на обработку

Трудоустройство человека напрямую связано с подачей личной информации работодателю. На этапе оформления на работу эта информация включает в себя ФИО, возраст, адрес проживания и прописки, семейное положение, данные об образовании.

По мере увеличения стажа в личном деле сотрудника появляются такие документы, как приказ о приеме на службу, трудовой контракт, трудовая книжка, документы об окладе и заработной плате.

Каждый работодатель при заключении трудового договора с работником становится обладателем его персональных сведений.

По требованиям федерального законодательства, если на предприятии происходит обработка ПДн сотрудников, необходимо иметь согласие каждого из них на выполнение действий с личными данными.

Согласие на обработку ПДн

Однако закон предусматривает и исключения из этого требования:

если получение и использование ПДн необходимо для обеспечения защиты жизни и здоровья субъекта персональных данных (в том случае, когда согласие его получить невозможно). Такое исключение позволит производить обработку ПДн без согласия только непродолжительный период времени;
если имеется договор с родственником лица, и в пользу этого лица осуществляется данный договор. Если совершенно нет возможности получить разрешение субъекта – этот выход будет единственным решением вопроса, например, при проверке Роскомнадзором.

Вышеуказанные исключения относятся только к общей категории личных данных. Для работы с конфиденциальными данными, такими как политические и религиозные взгляды, обязательно требуется согласие субъекта.

Места хранения личных данных

В зависимости от формы персональных сведений они могут храниться:

в бумажном виде;
в электронном виде.

Современные предприятия всегда дублируют персональные материалы служащих, храня их параллельно и на бумажном носителе, и в базе данных компьютера. Располагаются эти материалы в большинстве случаев в бухгалтерии либо в кадровом отделе фирмы. Обязательным условием для обеспечения безопасности ПДн в бумажной форме является их хранение в огнеупорных сейфах.

Для материалов об уволенных служащих на предприятии существует специальный архив, в который заносят личные дела и сохраняют их там до момента истечения срока хранения. После этого материалы уничтожаются.

Данные в электронном виде хранятся в базе данных компьютерной сети предприятия, причем обязательно с созданием резервной копии на случай удаления или программного сбоя.

Соблюдение правил хранения ПДн работников крайне важно. Нарушение этих требований влечет административную и уголовную ответственность.

Согласно статье 87 Трудового Кодекса Российской Федерации, порядок хранения и использования персонифицированной информации о служащих разрабатывается и утверждается работодателем.

Статья 87 ТК РФ

Законом установлены конкретные сроки хранения различной документации, содержащей в себе ПДн сотрудников. Их следует знать:

приказы и выписки из них, докладные, служебные письма, командировочные листы хранятся 5 лет;
автобиографии, анкеты с данными, заявления сотрудников, графики учета персонала хранятся на протяжении 3 лет;
ведомости о выплатах, расчетные листы и иные документы о выплатах пособий и заработных плат хранятся 75 лет.

Обработка персональных материалов в бумажном виде

Самое важное правило – использование личных данных работника на бумажном носителе производится только на основании федерального законодательства, а именно ст. 24 Конституции Российской Федерации. В ней говорится, что:

любые действия с персонифицированными сведениями о человеке недопустимы без его согласия;
государственные органы и службы самоуправления должны предоставить гражданам возможность ознакомиться с документами, в которых затрагиваются их права и свободы.

При обработке личных сведений работников организации необходимо учесть ряд требований:

Использование материалов личного характера должно осуществляться только в рамках действия трудового договора.
Все документы и материалы предоставляет непосредственно их владелец.
Если требуемые предприятию данные о сотруднике находятся в стороннем источнике, то необходимо письменное соглашение этого сотрудника на использование его ПДн.
Начальство не имеет права собирать и хранить сведения о личной жизни сотрудника без его согласия (если иное не предусмотрено законодательством).
Передача персональных сведений третьим лицам запрещена.
Персональные документы подчиненных, такие как паспорт, свидетельство о рождении, браке, идентификационный номер налогоплательщика, предоставляются работодателю для ознакомления и получения ксерокопии для дальнейшего хранения, оригиналы же возвращаются работнику. Такие документы, как трудовая книжка, трудовой контракт, приказы, хранятся в оригинале.
Все личные дела служащих должны находиться в папках в алфавитном порядке.
Все папки с личными документами обязательно должны находиться в сейфе, ключ от которого должен быть только у руководителя, главного бухгалтера и начальника кадрового отдела.
Работники отдела кадров в обязательном порядке должны проводить инструктажи о порядке и правилах подачи, обработки личных данных.

Обработка персональных материалов в электронном виде

Законодательство не выдвигает особых требований к электронным данным о работниках. Есть лишь несколько определенных правил:

Использование ПДн на электронных носителях должно производиться в соответствии с указанными выше нормами законодательных актов.
Для данных в электронном формате необходимо обозначить сведения, относящиеся к ПДн. С небольшим дополнением: к ним также относят e-mail, учетные записи в социальных сетях.
Все документы работника, полученные предприятием, нужно сканировать и вносить в его личное дело в электронной базе данных.
К базе данных право доступа принадлежит директору предприятия и его заместителям, главному бухгалтеру и начальнику кадрового отдела, а также системным администраторам (программистам). Причем для каждого из них персонально создаются логин и пароль для входа в электронную БД.
Параллельно создается резервная копия БД, которую хранят на съемном носителе (диске, жестком диске).

Данные в электронном виде, так же, как и в бумажном, нуждаются в защите. Для защиты электронных персональных данных используются такие способы:

интегрируется индивидуализированная система доступа пользователей;
ограничивается доступ работников в те помещения, где хранятся компьютеры (серверы) с базой данных;
осуществляется безопасная организация хранения носителей информации.

Передача ПДн за границу

ФЗ РФ установлено, что международная, или трансграничная, передача личных сведений – это отправка ПДн на территорию иного государства иностранному физическому либо юридическому лицу или представительству органа власти государства. Чаще всего сюда относится отправка данных в органы ООН.

Если же международная отправка ПДн осуществляется в небезопасное государство, необходимо иметь договор с субъектом персональной информации, предусматривающий данное действие, или получить его письменное разрешение.

План действий работодателя по работе с личными материалами работников:

работодателем создается и утверждается специальный акт, регулирующий процесс хранения и обработки персональных сведений. Зачастую это Положение о личных данных, предоставляемое для ознакомления работникам под роспись. Ознакомление возможно только с бумажным носителем – рассылка Положения электронной почтой не соответствует требованиям закона. При проведении аудита предприятия Роскомнадзор запрашивает данный документ для проверки. Если таковой отсутствует или нет подписей работников – работодатель может быть привлечен к административной ответственности;
следующим важным документом, составляемым работодателем, является акт, содержащий список ПДн, которые будут использоваться в организации. Также в данном акте указываются конкретные бумаги, содержащие данные о работниках, которые предприятие передает в государственные службы;
работодатель издает приказ, в котором утверждает на должность оператора ПДн человека, который будет ответственным за сбор, хранение, обработку и иные действия с личной информацией, а также за обеспечение ее безопасности;
чтобы быть готовыми к проверке, следует держать наготове заявления сотрудников о согласии на обработку ПДн, журналы учета и передачи личных данных;
вся документация, содержащая личную информацию о работниках, должна храниться в сейфах. Данные в электронном виде – содержаться в базе данных под паролем и иметь резервную копию.

Во избежание привлечения к ответственности необходимо выполнить все вышеуказанные пункты и особое внимание уделить безопасности персонифицированной информации, потому что с 2017 года федеральное законодательство ужесточило ответственность работодателей за невыполнение требований по сохранности ПДн.

Законодательство РФ требует уничтожать или обезличивать все личные сведения сотрудников, когда уже нет необходимости в их использовании и хранении.

Закажите бесплатный 30-дневный триал

Полнофункциональное ПО без ограничений по
пользователям и функциональности

ЗАКАЗАТЬ

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.