Хранение персональных данных: как организовать в компании, и какие особенности учесть
Практически все компании и ИП так или иначе работают с людьми, поэтому постоянно сталкиваются с персональными данными. Такую информацию нужно правильно хранить и защищать от незаконного использования. В статье расскажем, как это организовать и какие нюансы учесть.
- Хранение персданных на бумажных носителях
- Хранение персданных в электронном виде
- Как организовать хранение персональных сведений в компании: пошаговая инструкция
- Срок действия и срок хранения согласий на обработку персональных данных
- Избыточное хранение данных в личных делах сотрудников
- Формирование личного дела сотрудника
Скачайте образцы документов для работы:
|
Законами не определены правила хранения персональных данных. Работодатель сам выбирает удобные ему, учитывая:
- предписания закона об архивах;
- доступ к ПнД уполномоченных на обработку и других лиц;
- способы работы с ПД, обрабатываемых на бумаге или в ИСПДн;
- порядок сбора и обработки, закрепленный в локальном документе.
Быть в курсе последних изменений в законодательстве, первыми получать разъяснения, как действовать на практике, бесплатно смотреть вебинары с Валентиной Митрофановой и посещать «Кадровый форум» – все это наш сервис «Кадровый обзор». |
Что можно установить для гарантии сохранности персональных данных на предприятии?
- Сформулировать требования к месту, где хранятся персональные данные работников: разъяснить чем обеспечивается сохранность конфиденциальной информации и как исключается свободное проникновение или нахождение в помещениях посторонних лиц.
- Изложить требования к ответственным за обработку ПД.
- Определить способы хранения персональных данных, содержащихся в бланках, — сейфы, запирающиеся шкафы, проч..
Важно!
Ст.18.1 No152 ФЗ регламентирует, какие меры может предпринимать оператор и ответственный по охране ПнД. Условия, обеспечивающие надлежащую защиту персональных данных, подробно описаны в ПП от 21 марта 2012 г. N 211 и ПП от 15 сентября 2008 г. N 687. |
К носителям биометрических данных предъявляются специальные требования. Особый порядок хранения таких сведений установлен Постановлением No 512 от 06 июля 2008 г.
Хранение персданных на бумажных носителях
Компания использует бумажные носители с персональными данными: личные дела, трудовые книжки, договоры с работниками, также бухгалтерские ведомости на выплату зарплаты или командировочных. Чтобы обезопасить информацию в этих документах следует ответственно подойти к вопросу их хранения:
- держать бумаги нужно в сейфах или металлических несгораемых шкафах, которые запираются на замок. Или оборудовать специальное помещение, например, отдельное помещение кассы со стальной дверью;
- информацию, которую обрабатывают в разных целях, стоит держать отдельно друг от друга, также документы, у которых срок хранения персональных данных разный, лучше не смешивать;
- не хранить в личных делах сотрудников: копии паспорта, СНИЛС и ИНН, свидетельства о браке или рождении ребенка, и все остальные, которые Роскомнадзор при проверке признает как содержащие избыточные персональные сведения.
Обратите внимание! Закон не запрещает хранить копии этих документов или их сканы, но только если работник дал согласие на хранение персональных данных и обработку, в котором указываются объем персональных сведений, способы и цели работы с ними. Но как показывает судебная практика, лучше не рисковать и уничтожить копии после того, как использовали информацию. |
Совет
За хранение резюме соискателей можно получить штраф от Роскомнадзора, потому что там тоже содержатся персональные данные. Резюме разрешается использовать в течение срока, пока сотрудник кадровой службы рассматривает потенциальных кандидатов.
Не храните этот документ ни в распечатанном виде, ни в электронном, например, присланный на e-mail, если вакансия уже закрыта. Если в компании формируется кадровый резерв, у каждого кандидата возьмите согласие на хранение сведений о нем и укажите цель хранения. |
Хранение персданных в электронном виде
Хранение персональных данных работников в электронном виде регламентирует Постановление Правительства РФ от 01.11.2012 № 1119. Информация может храниться на флешках или жестких дисках, сервере компании или удаленно в облачном хранилище. Требования к хранению персональных сведений определены в ФЗ-152:
- персданные хранятся столько времени, сколько нужно для обработки, а после следует их уничтожить или обезличить;
- если есть базы данных с разной информацией для разных целей, их нельзя объединять;
- если сведения передают за границу, нужно убедиться, что там есть система защиты такой информации, а сотрудник дал отдельное согласие на передачу данных.
Основные правила хранения информации в электронном виде определены в 149-ФЗ от 27.07.2006.
Серверы стоит разместить в помещении с замком, доступ к ним должен быть только у тех людей, у кого есть на это право, например, системные администраторы. На самих серверах должно быть обязательно установлено защитное программное обеспечение: антивирусы, межсетевые экраны.
Чтобы сберечь персональные сведения выбирают способы исходя из вида данных и уровня защиты, который для них требуется (Приказ ФСТЭК России от 18 февраля 2013 г. N 21). Для специальных персональных данных и биометрических требуется 1 или 2 уровень защиты. Это означает, что серверы должны работать надежно, на них нужно установить систему обнаружения вторжений и обязательно создавать резервную копию.
Для иных данных подходить 3 уровень защиты, можно просто ограничить доступ к системе. Для общедоступных сведений — 4 уровень, достаточно антивирусного приложения.
Если компания собирается хранить персональные сведения в центре обработки данных ЦОД, то нужно проверить, есть ли у него аттестат на соответствие требованиям приказа ФСТЭК. Это гарантирует, что данные под надежной защитой.
Ошибки в персональных данных обходятся дороже всего. Как аудит по персональным данным спас компанию от многомиллионных штрафов читайте здесь. |
Как организовать хранение персональных сведений в компании: пошаговая инструкция
Чтобы обработка и хранение персональных данных в организации соответствовали нормам ФЗ-152 нужно разработать все требуемые документы и следовать определенным правилам:
- установить и зафиксировать в Положении о хранении персональных данных порядок доступа в специальное помещение или к местам хранения персональной информации согласно п.13 постановления Правительства от 15.09.2008 № 687.
- Назначить тех, кто будет обрабатывать персданные и нести за это ответственность. Это могут быть работники кадровой службы или бухгалтерии. Ознакомить работников под роспись с этим документом. Как назначить ответственного за персданные, читайте здесь.
- Составить перечень персональных данных, которые будут обрабатывать в организации. В том числе те, которые передают третьим лицам: в ПФР, ГИТ, налоговую или статистику;
- Заранее разработать формы заявлений о согласии на обработку, хранение и передачу персональных сведений, также журналы учета и проверок — в случае если неожиданно придут проверяющие из Роскомнадзора или ФСТЭК;
- Выбрать место для хранения персональных данных на бумаге и оформить это приказом.
- Разработать и утвердить форму обязательства о неразглашении персональных данных и подписать его с сотрудниками, которые отвечают за работу с этой информацией;
- Подать уведомление в Роскомнадзор о том, что компания является оператором персональных данных, если еще не подали;
- После необходимо контролировать весь процесс работы с персональными данными, следить за изменениями в законодательстве и периодически проводить независимый аудит.
Полный пакет документов по работе с персональными данными скачайте здесь.
Срок действия и срок хранения согласий на обработку персональных данных
Не надо путать собственно персональные данные и письменное согласие на их обработку! Статья 5 № 152-ФЗ говорит о ПнД — это ФИО, дата рождения, паспортные и другие сведения о личности субъекта.
Согласие на обработку персональных данных — это устное / письменное разрешение гражданина, которое он дает заинтересованной стороне на осуществление определенных действий с персональными сведениями о себе. |
Срок хранения персональных данных работника оговорен в ст. 5 п.7 No-152 ФЗ. Его определяют:
- федеральные законы;
- сам сотрудник (в договорах, согласии);
- достижение цели обработки.
Когда цель обработки ПнД достигнута, личная информация обезличивается, уничтожается, если по отношению к ней не действуют другие нормы, к примеру, федеральные законодательные.
Срок действия разрешения субъекта на обработку его данных устанавливается на основании п. 4/8 ст. 9 No152-ФЗ, а именно — до даты, указанной в самом документе. Хранение согласий на обработку персональных данных нормирует Приказ Росархива от 20.12.2019 N 236 — 3 года после окончания этой даты или отзыва, если иное не предусматривается федеральными законами, договорами.
Срок хранения персональных данных сотрудника, соискателя, третьих лиц определяется им самим в согласии на обработку персональных данных. После этой даты обработка оканчивается, а личная информация уничтожается. Сведения о личности, которые содержатся в кадровых, бухгалтерских формах, обрабатываются, учитывая архивное законодательство. Хранение документов с персональными данными производится в соответствии с Приказом Росархива от 20.12.2019 N 236. К таким формам относятся: трудовое соглашение, приказы, личные карточки, графики отпусков и т.д.
Важно!
Внимание! Приказ Минкульта РФ от 25 августа 2010 No 558 «Об утверждении "Перечня ... » утратил силу. Вместо него действует Приказ Росархива от 20.12.2019 N 236. |
Избыточное хранение данных в личных делах сотрудников
Часто кадровики в личных делах или папках служащих хранят копии паспортов, аттестатов, ИНН и т.д. Это признается незаконным, так как нарушает требования к хранению персональных данных. Хранение копий удостоверения личности, других документов, в которых есть персональные данные, квалифицируется как нарушение во время проведения проверок в части наличия у Оператора избыточных персональных данных.
Часть 5 статьи 5 No 152-ФЗ регулирует количество обрабатываемых персональных данных, их объем. Они должны коррелировать с целями обработки, которые вы заявили в Политике или других ЛНА. В законах и нормах РФ, посвященных обработке ПД на предприятии, устанавливаются объемы и характер персональных данных, которые запрашивают у сотрудника. Основной регламентирующий документ — Трудовой кодекс:
- Ст. 86 содержит перечень норм, которыми стоит руководствоваться при при расчете объема и содержания ПнД. Это Конституция РФ, ТК РФ и др.
- Ст. 65 ТК дает полный список документов с персональными сведениями, которые наниматель может требовать у сотрудника для заключения трудового договора.
Статья 65 ТК РФ не называет какие персональные данные может хранить и обрабатывать работодатель или сотрудник кадровой службы на протяжении трудовой деятельности работника. В законе перечислены документы, которые предъявляются при заключении трудового контракта.
Какие документы потребует работодатель, чтобы заключить трудовой договор — таблица
Документ |
Для чего требуется |
Паспорт |
Документ, удостоверяющий личность |
Трудовая книжка |
Если работник устраивается в первый раз, ее изготавливает наниматель. С 2020 года введены электронные ТД |
СНИЛС |
|
Военный билет |
Если работник военнообязанный или призывник |
Диплом, другие документы об образовании |
Подтверждение квалификации, наличии специальной подготовки если соискатель поступает на должность, требующую особых знаний |
Справка о судимости / уголовном преследовании либо о его прекращении |
Для работ, к которым не допускаются судимые или подвергшиеся уголовному преследованию |
Другие документы требовать запрещается!
Сбор, обработку и хранение персональных данных о судимости вправе проводить муниципальные или госучреждения в рамках полномочий, предоставленных им законами РФ — пункт 3 ст. 10 No 152-ФЗ. В других случаях этот порядок определяется иными федеральными нормами.
ТК РФ предусматривает документы и персональные данные, которыми может оперировать работодатель. Это трудовой договор (статья 57 ТК РФ), в нем указаны:
- ФИО работника;
- сведения паспорта;
- трудовая книжка (ст. 66 ТК РФ);
- приказ о приеме на работу (ст. 68 ТК РФ) и т.д.
Для идентификации при устройстве на работу от сотрудника потребуется ФИО и предоставление им документа, подтверждающего личность. Этого достаточно. Поэтому хранение копий паспортных страниц расценивается проверяющими из Роскомнадзора как превышение объема требуемых персональных данных.
Совет
Пример с копиями страниц паспорта показывает, что их хранение не обеспечивает точность и актуальность сведений о личности. Только оригинал — источник аутентичной информации. Это утверждение справедливо по отношению к дубликатам паспорта и других документов. |
Особое внимание уделяет Роскомнадзор номенклатуре документов, которые содержатся в личных делах и папках сотрудников.
Формирование личного дела сотрудника
Личное дело — это систематизированный комплект форм, содержащих персональные данные работника. Это папка с документами, которые образуются и подшиваются в течение всего времени работы конкретного работника на предприятии.
Важно! Требования к формированию и ведению личного дела не установлены законодательно. Нормируется оформление личных дел только по отношению к гражданским служащим в No 79-ФЗ. |
Что касается других организаций — у них нет такой обязанности. Личные дела ведутся для упорядочения кадрового документооборота, а работодатель сам определяет их наполнение, исходя из собственных потребностей.
Как определить сроки хранения документов, содержащих персональные данные, в личном деле сотрудника:
- Ст. 22.1 Закона от 22.10. 2004 г. № 125-ФЗ;
- Приказ Росархива от 20.12.2019 N 236.
Важно! На вопрос — можно ли хранить копии — ответил Роструд в докладе за II квартал 2017 года. Он разрешил изготавливать и хранить дубликаты документов с ПнД при наличии согласия на их обработку, однако мы рекомендуем после получения и фиксации сведений для оформления трудовых отношений вернуть сотруднику документы, не снимая с них копий. |
Ст. 5 No 152-ФЗ сформулировано требование относительно срока хранения персональных данных — не дольше исполнения целей обработки, исключая оговоренные законом условия. Эта норма установлена в отношении хранения собственно персональных данных, а не дубликатов документов, их включающих. В этой связи при обнаружении в личном деле или папке сотрудника дублей бланков с персональными данными, проверяющий признает это несоблюдением закона в части избыточности личных сведений по отношению к объявленным целям их обработки.
Важно! Избавляться нужно не от всех копий документов, а только от тех, которые не имеют цели хранения. |
Если хранение дубликатов документов с конфиденциальной информацией нужно для исполнение требований закона, в иных целях, определенных работодателем (например, копии аттестата об образовании при направлении работника на обучение для предоставления их в учебное заведение), — такие дубли можно хранить.
Пример с копиями страниц паспорта показывает, что их хранение не обеспечивает точность и актуальность сведений о личности. Только оригинал — источник аутентичной информации. Это утверждение справедливо по отношению к дубликатам паспорта и других документов.
Совет
Рекомендуем закрепить в локальном акте систему хранения персональных данных, содержащихся в дубликатах документов. В согласие впишите пункт, что помимо обработки указанных данных, сотрудник разрешает хранить копии документов, содержащие личные сведения о нем. |
Постарайтесь избавиться от практики размещения в папках ненужных копий, которые, возможно, пригодятся «на всякий случай». Есть большой риск, что вас привлекут к административной ответственности, обозначенной в ст.13.11 КоАП за обработку персональных данных не в целях, заявленных для обработки.
Как определить сроки хранения персональных данных, какими нормативными документами руководствоваться при сборе, обработке и хранении информации о сотрудниках —подробно разобрали на нашем авторском курсе. |
- Комментарии