Порядок хранения и использования персональных данных работников

Защита персональных данных
с помощью DLP-системы

30 дней для тестирования «КИБ СерчИнформ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Персональные данные – это любые, в том числе конфиденциальные, сведения о человеке, в этом контексте называемом субъектом ПДн. Поэтому для любого предприятия, имеющего штат сотрудников, о которых хранится информация в его базе, важно правильно обращаться с этой информацией.

Все действия с ПДн: получение разрешения субъекта на их использование, хранение информации на бумажных и электронных носителях, передача ПДн за границу, организация всех видов обработки личных данных сотрудников – должны осуществляться в правовом поле, о чем гласит ФЗ № 152 «О персональных данных».

Согласие субъекта на обработку

Трудоустройство человека напрямую связано с подачей личной информации работодателю. На этапе оформления на работу эта информация включает в себя ФИО, возраст, адрес проживания и прописки, семейное положение, данные об образовании.

По мере увеличения стажа в личном деле сотрудника появляются такие документы, как приказ о приеме на службу, трудовой контракт, трудовая книжка, документы об окладе и заработной плате.

Каждый работодатель при заключении трудового договора с работником становится обладателем его персональных сведений.

По требованиям федерального законодательства, если на предприятии происходит обработка ПДн сотрудников, необходимо иметь согласие каждого из них на выполнение действий с личными данными.

Согласие на обработку ПДн

Однако закон предусматривает и исключения из этого требования:

  • если получение и использование ПДн необходимо для обеспечения защиты жизни и здоровья субъекта персональных данных (в том случае, когда согласие его получить невозможно). Такое исключение позволит производить обработку ПДн без согласия только непродолжительный период времени;
  • если имеется договор с родственником лица, и в пользу этого лица осуществляется данный договор. Если совершенно нет возможности получить разрешение субъекта – этот выход будет единственным решением вопроса, например, при проверке Роскомнадзором.

Вышеуказанные исключения относятся только к общей категории личных данных. Для работы с конфиденциальными данными, такими как политические и религиозные взгляды, обязательно требуется согласие субъекта.

Места хранения личных данных

В зависимости от формы персональных сведений они могут храниться:

  • в бумажном виде;
  • в электронном виде.

Современные предприятия всегда дублируют персональные материалы служащих, храня их параллельно и на бумажном носителе, и в базе данных компьютера. Располагаются эти материалы в большинстве случаев в бухгалтерии либо в кадровом отделе фирмы. Обязательным условием для обеспечения безопасности ПДн в бумажной форме является их хранение в огнеупорных сейфах.

Для материалов об уволенных служащих на предприятии существует специальный архив, в который заносят личные дела и сохраняют их там до момента истечения срока хранения. После этого материалы уничтожаются.

Данные в электронном виде хранятся в базе данных компьютерной сети предприятия, причем обязательно с созданием резервной копии на случай удаления или программного сбоя.

Соблюдение правил хранения ПДн работников крайне важно. Нарушение этих требований влечет административную и уголовную ответственность.

Согласно статье 87 Трудового Кодекса Российской Федерации, порядок хранения и использования персонифицированной информации о служащих разрабатывается и утверждается работодателем.

Статья 87 ТК РФ

Законом установлены конкретные сроки хранения различной документации, содержащей в себе ПДн сотрудников. Их следует знать:

  • приказы и выписки из них, докладные, служебные письма, командировочные листы хранятся 5 лет;
  • автобиографии, анкеты с данными, заявления сотрудников, графики учета персонала хранятся на протяжении 3 лет;
  • ведомости о выплатах, расчетные листы и иные документы о выплатах пособий и заработных плат хранятся 75 лет.

Обработка персональных материалов в бумажном виде

Самое важное правило – использование личных данных работника на бумажном носителе производится только на основании федерального законодательства, а именно ст. 24 Конституции Российской Федерации. В ней говорится, что: 

  • любые действия с персонифицированными сведениями о человеке недопустимы без его согласия;
  • государственные органы и службы самоуправления должны предоставить гражданам возможность ознакомиться с документами, в которых затрагиваются их права и свободы. 

При обработке личных сведений работников организации необходимо учесть ряд требований:

  1. Использование материалов личного характера должно осуществляться только в рамках действия трудового договора.
  2. Все документы и материалы предоставляет непосредственно их владелец.
  3. Если требуемые предприятию данные о сотруднике находятся в стороннем источнике, то необходимо письменное соглашение этого сотрудника на использование его ПДн.
  4. Начальство не имеет права собирать и хранить сведения о личной жизни сотрудника без его согласия (если иное не предусмотрено законодательством).
  5. Передача персональных сведений третьим лицам запрещена.
  6. Персональные документы подчиненных, такие как паспорт, свидетельство о рождении, браке, идентификационный номер налогоплательщика, предоставляются работодателю для ознакомления и получения ксерокопии для дальнейшего хранения, оригиналы же возвращаются работнику. Такие документы, как трудовая книжка, трудовой контракт, приказы, хранятся в оригинале.
  7. Все личные дела служащих должны находиться в папках в алфавитном порядке.
  8. Все папки с личными документами обязательно должны находиться в сейфе, ключ от которого должен быть только у руководителя, главного бухгалтера и начальника кадрового отдела.
  9. Работники отдела кадров в обязательном порядке должны проводить инструктажи о порядке и правилах подачи, обработки личных данных.

Обработка персональных материалов в электронном виде

Законодательство не выдвигает особых требований к электронным данным о работниках. Есть лишь несколько определенных правил:

  1. Использование ПДн на электронных носителях должно производиться в соответствии с указанными выше нормами законодательных актов.
  2. Для данных в электронном формате необходимо обозначить сведения, относящиеся к ПДн. С небольшим дополнением: к ним также относят e-mail, учетные записи в социальных сетях.
  3. Все документы работника, полученные предприятием, нужно сканировать и вносить в его личное дело в электронной базе данных.
  4. К базе данных право доступа принадлежит директору предприятия и его заместителям, главному бухгалтеру и начальнику кадрового отдела, а также системным администраторам (программистам). Причем для каждого из них персонально создаются логин и пароль для входа в электронную БД.
  5. Параллельно создается резервная копия БД, которую хранят на съемном носителе (диске, жестком диске).

Данные в электронном виде, так же, как и в бумажном, нуждаются в защите. Для защиты электронных персональных данных используются такие способы:

  • интегрируется индивидуализированная система доступа пользователей;
  • ограничивается доступ работников в те помещения, где хранятся компьютеры (серверы) с базой данных;
  • осуществляется безопасная организация хранения носителей информации.

Передача ПДн за границу

ФЗ РФ установлено, что международная, или трансграничная, передача личных сведений –  это отправка ПДн на территорию иного государства иностранному физическому либо юридическому лицу или представительству органа власти государства. Чаще всего сюда относится отправка данных в органы ООН. 

Если же международная отправка ПДн осуществляется в небезопасное государство, необходимо иметь договор с субъектом персональной информации, предусматривающий данное действие, или получить его письменное разрешение.

План действий работодателя по работе с личными материалами работников:

  • работодателем создается и утверждается специальный акт, регулирующий процесс хранения и обработки персональных сведений. Зачастую это Положение о личных данных, предоставляемое для ознакомления работникам под роспись. Ознакомление возможно только с бумажным носителем – рассылка Положения электронной почтой не соответствует требованиям закона. При проведении аудита предприятия Роскомнадзор запрашивает данный документ для проверки. Если таковой отсутствует или нет подписей работников – работодатель может быть привлечен к административной ответственности; 
  • следующим важным документом, составляемым работодателем, является акт, содержащий список ПДн, которые будут использоваться в организации. Также в данном акте указываются конкретные бумаги, содержащие данные о работниках, которые предприятие передает в государственные службы;
  • работодатель издает приказ, в котором утверждает на должность оператора ПДн человека, который будет ответственным за сбор, хранение, обработку и иные действия с личной информацией, а также за обеспечение ее безопасности;
  • чтобы быть готовыми к проверке, следует держать наготове заявления сотрудников о согласии на обработку ПДн, журналы учета и передачи личных данных;
  • вся документация, содержащая личную информацию о работниках, должна храниться в сейфах. Данные в электронном виде – содержаться в базе данных под паролем и иметь резервную копию. 

Во избежание привлечения к ответственности необходимо выполнить все вышеуказанные пункты и особое внимание уделить безопасности персонифицированной информации, потому что с 2017 года федеральное законодательство ужесточило ответственность работодателей за невыполнение требований по сохранности ПДн.

Законодательство РФ требует уничтожать или обезличивать все личные сведения сотрудников, когда уже нет необходимости в их использовании и хранении.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними