Персональные данные – это любые, в том числе конфиденциальные, сведения о человеке, в этом контексте называемом субъектом ПДн. Поэтому для любого предприятия, имеющего штат сотрудников, о которых хранится информация в его базе, важно правильно обращаться с этой информацией.

Все действия с ПДн: получение разрешения субъекта на их использование, хранение информации на бумажных и электронных носителях, передача ПДн за границу, организация всех видов обработки личных данных сотрудников – должны осуществляться в правовом поле, о чем гласит ФЗ № 152 «О персональных данных».

Согласие субъекта на обработку

Трудоустройство человека напрямую связано с подачей личной информации работодателю. На этапе оформления на работу эта информация включает в себя ФИО, возраст, адрес проживания и прописки, семейное положение, данные об образовании.

По мере увеличения стажа в личном деле сотрудника появляются такие документы, как приказ о приеме на службу, трудовой контракт, трудовая книжка, документы об окладе и заработной плате.

Каждый работодатель при заключении трудового договора с работником становится обладателем его персональных сведений.

По требованиям федерального законодательства, если на предприятии происходит обработка ПДн сотрудников, необходимо иметь согласие каждого из них на выполнение действий с личными данными.

Однако закон предусматривает и исключения из этого требования:

• если получение и использование ПДн необходимо для обеспечения защиты жизни и здоровья субъекта персональных данных (в том случае, когда согласие его получить невозможно). Такое исключение позволит производить обработку ПДн без согласия только непродолжительный период времени;
• если имеется договор с родственником лица, и в пользу этого лица осуществляется данный договор. Если совершенно нет возможности получить разрешение субъекта – этот выход будет единственным решением вопроса, например, при проверке Роскомнадзором.

Вышеуказанные исключения относятся только к общей категории личных данных. Для работы с конфиденциальными данными, такими как политические и религиозные взгляды, обязательно требуется согласие субъекта.

Места хранения личных данных

В зависимости от формы персональных сведений они могут храниться:

• в бумажном виде;
• в электронном виде.

Современные предприятия всегда дублируют персональные материалы служащих, храня их параллельно и на бумажном носителе, и в базе данных компьютера. Располагаются эти материалы в большинстве случаев в бухгалтерии либо в кадровом отделе фирмы. Обязательным условием для обеспечения безопасности ПДн в бумажной форме является их хранение в огнеупорных сейфах.

Для материалов об уволенных служащих на предприятии существует специальный архив, в который заносят личные дела и сохраняют их там до момента истечения срока хранения. После этого материалы уничтожаются.

Данные в электронном виде хранятся в базе данных компьютерной сети предприятия, причем обязательно с созданием резервной копии на случай удаления или программного сбоя.

Соблюдение правил хранения ПДн работников крайне важно. Нарушение этих требований влечет административную и уголовную ответственность.

Согласно статье 87 Трудового Кодекса Российской Федерации, порядок хранения и использования персонифицированной информации о служащих разрабатывается и утверждается работодателем.

Законом установлены конкретные сроки хранения различной документации, содержащей в себе ПДн сотрудников. Их следует знать:

• приказы и выписки из них, докладные, служебные письма, командировочные листы хранятся 5 лет;
• автобиографии, анкеты с данными, заявления сотрудников, графики учета персонала хранятся на протяжении 3 лет;
• ведомости о выплатах, расчетные листы и иные документы о выплатах пособий и заработных плат хранятся 75 лет.

Обработка персональных материалов в бумажном виде

Самое важное правило – использование личных данных работника на бумажном носителе производится только на основании федерального законодательства, а именно ст. 24 Конституции Российской Федерации. В ней говорится, что: 

• любые действия с персонифицированными сведениями о человеке недопустимы без его согласия;
• государственные органы и службы самоуправления должны предоставить гражданам возможность ознакомиться с документами, в которых затрагиваются их права и свободы. 

При обработке личных сведений работников организации необходимо учесть ряд требований:

1. Использование материалов личного характера должно осуществляться только в рамках действия трудового договора.
2. Все документы и материалы предоставляет непосредственно их владелец.
3. Если требуемые предприятию данные о сотруднике находятся в стороннем источнике, то необходимо письменное соглашение этого сотрудника на использование его ПДн.
4. Начальство не имеет права собирать и хранить сведения о личной жизни сотрудника без его согласия (если иное не предусмотрено законодательством).
5. Передача персональных сведений третьим лицам запрещена.
6. Персональные документы подчиненных, такие как паспорт, свидетельство о рождении, браке, идентификационный номер налогоплательщика, предоставляются работодателю для ознакомления и получения ксерокопии для дальнейшего хранения, оригиналы же возвращаются работнику. Такие документы, как трудовая книжка, трудовой контракт, приказы, хранятся в оригинале.
7. Все личные дела служащих должны находиться в папках в алфавитном порядке.
8. Все папки с личными документами обязательно должны находиться в сейфе, ключ от которого должен быть только у руководителя, главного бухгалтера и начальника кадрового отдела.
9. Работники отдела кадров в обязательном порядке должны проводить инструктажи о порядке и правилах подачи, обработки личных данных.

Обработка персональных материалов в электронном виде

Законодательство не выдвигает особых требований к электронным данным о работниках. Есть лишь несколько определенных правил:

1. Использование ПДн на электронных носителях должно производиться в соответствии с указанными выше нормами законодательных актов.
2. Для данных в электронном формате необходимо обозначить сведения, относящиеся к ПДн. С небольшим дополнением: к ним также относят e-mail, учетные записи в социальных сетях.
3. Все документы работника, полученные предприятием, нужно сканировать и вносить в его личное дело в электронной базе данных.
4. К базе данных право доступа принадлежит директору предприятия и его заместителям, главному бухгалтеру и начальнику кадрового отдела, а также системным администраторам (программистам). Причем для каждого из них персонально создаются логин и пароль для входа в электронную БД.
5. Параллельно создается резервная копия БД, которую хранят на съемном носителе (диске, жестком диске).

Данные в электронном виде, так же, как и в бумажном, нуждаются в защите. Для защиты электронных персональных данных используются такие способы:

• интегрируется индивидуализированная система доступа пользователей;
• ограничивается доступ работников в те помещения, где хранятся компьютеры (серверы) с базой данных;
• осуществляется безопасная организация хранения носителей информации.

Передача ПДн за границу

ФЗ РФ установлено, что международная, или трансграничная, передача личных сведений –  это отправка ПДн на территорию иного государства иностранному физическому либо юридическому лицу или представительству органа власти государства. Чаще всего сюда относится отправка данных в органы ООН. 

Если же международная отправка ПДн осуществляется в небезопасное государство, необходимо иметь договор с субъектом персональной информации, предусматривающий данное действие, или получить его письменное разрешение.

План действий работодателя по работе с личными материалами работников:

• работодателем создается и утверждается специальный акт, регулирующий процесс хранения и обработки персональных сведений. Зачастую это Положение о личных данных, предоставляемое для ознакомления работникам под роспись. Ознакомление возможно только с бумажным носителем – рассылка Положения электронной почтой не соответствует требованиям закона. При проведении аудита предприятия Роскомнадзор запрашивает данный документ для проверки. Если таковой отсутствует или нет подписей работников – работодатель может быть привлечен к административной ответственности; 
• следующим важным документом, составляемым работодателем, является акт, содержащий список ПДн, которые будут использоваться в организации. Также в данном акте указываются конкретные бумаги, содержащие данные о работниках, которые предприятие передает в государственные службы;
• работодатель издает приказ, в котором утверждает на должность оператора ПДн человека, который будет ответственным за сбор, хранение, обработку и иные действия с личной информацией, а также за обеспечение ее безопасности;
• чтобы быть готовыми к проверке, следует держать наготове заявления сотрудников о согласии на обработку ПДн, журналы учета и передачи личных данных;
• вся документация, содержащая личную информацию о работниках, должна храниться в сейфах. Данные в электронном виде – содержаться в базе данных под паролем и иметь резервную копию. 

Во избежание привлечения к ответственности необходимо выполнить все вышеуказанные пункты и особое внимание уделить безопасности персонифицированной информации, потому что с 2017 года федеральное законодательство ужесточило ответственность работодателей за невыполнение требований по сохранности ПДн.

Законодательство РФ требует уничтожать или обезличивать все личные сведения сотрудников, когда уже нет необходимости в их использовании и хранении.