Хранение персональных данных: как организовать в компании, и какие особенности учесть

Практически все компании и ИП так или иначе работают с людьми, поэтому постоянно сталкиваются с персональными данными. Такую информацию нужно правильно хранить и защищать от незаконного использования. В статье расскажем, как это организовать и какие нюансы учесть.

Законами не определены правила хранения персональных данных. Работодатель сам выбирает удобные ему, учитывая:

• предписания закона об архивах;
• доступ к ПнД уполномоченных на обработку и других лиц;
• способы работы с ПД, обрабатываемых на бумаге или в ИСПДн;
• порядок сбора и обработки, закрепленный в локальном документе.

Что можно установить для гарантии сохранности персональных данных на предприятии?

1. Сформулировать требования к месту, где хранятся персональные данные работников: разъяснить чем обеспечивается сохранность конфиденциальной информации и как исключается свободное проникновение или нахождение в помещениях посторонних лиц.
2. Изложить требования к ответственным за обработку ПД.
3. Определить способы хранения персональных данных, содержащихся в бланках, — сейфы, запирающиеся шкафы, проч..

К носителям биометрических данных предъявляются специальные требования. Особый порядок хранения таких сведений установлен Постановлением No 512 от 06 июля 2008 г.

Хранение персданных на бумажных носителях

Компания использует бумажные носители с персональными данными: личные дела, трудовые книжки, договоры с работниками, также бухгалтерские ведомости на выплату зарплаты или командировочных. Чтобы обезопасить информацию в этих документах следует ответственно подойти к вопросу их хранения:

• держать бумаги нужно в сейфах или металлических несгораемых шкафах, которые запираются на замок. Или оборудовать специальное помещение, например, отдельное помещение кассы со стальной дверью;
• информацию, которую обрабатывают в разных целях, стоит держать отдельно друг от друга, также документы, у которых срок хранения персональных данных разный, лучше не смешивать; 
• не хранить в личных делах сотрудников: копии паспорта, СНИЛС и ИНН, свидетельства о браке или рождении ребенка, и все остальные, которые Роскомнадзор при проверке признает как содержащие избыточные персональные сведения.

Хранение персданных в электронном виде

Хранение персональных данных работников в электронном виде регламентирует Постановление Правительства РФ от 01.11.2012 № 1119. Информация может храниться на флешках или жестких дисках, сервере компании или удаленно в облачном хранилище. Требования к хранению персональных сведений определены в ФЗ-152:

• персданные хранятся столько времени, сколько нужно для обработки, а после следует их уничтожить или обезличить;
• если есть базы данных с разной информацией для разных целей, их нельзя объединять;
• если сведения передают за границу, нужно убедиться, что там есть система защиты такой информации, а сотрудник дал отдельное согласие на передачу данных.

Основные правила хранения информации в электронном виде определены в 149-ФЗ от 27.07.2006. 

Серверы стоит разместить в помещении с замком, доступ к ним должен быть только у тех людей, у кого есть на это право, например, системные администраторы. На самих серверах должно быть обязательно установлено защитное программное обеспечение: антивирусы, межсетевые экраны. 

Чтобы сберечь персональные сведения выбирают способы исходя из вида данных и уровня защиты, который для них требуется (Приказ ФСТЭК России от 18 февраля 2013 г. N 21). Для специальных персональных данных и биометрических требуется 1 или 2 уровень защиты. Это означает, что серверы должны работать надежно, на них нужно установить систему обнаружения вторжений и обязательно создавать резервную копию. 

Для иных данных подходить 3 уровень защиты, можно просто ограничить доступ к системе. Для общедоступных сведений — 4 уровень, достаточно антивирусного приложения.

Если компания собирается хранить персональные сведения в  центре обработки данных ЦОД, то нужно проверить, есть ли у него аттестат на соответствие требованиям приказа ФСТЭК. Это гарантирует, что данные под надежной защитой.

Как организовать хранение персональных сведений в компании: пошаговая инструкция

Чтобы обработка и хранение персональных данных в организации соответствовали нормам ФЗ-152 нужно разработать все требуемые документы и следовать определенным правилам:

• установить и зафиксировать в Положении о хранении персональных данных порядок доступа в специальное помещение или к местам хранения персональной информации согласно п.13 постановления Правительства от 15.09.2008 № 687. 
• Назначить тех, кто будет обрабатывать персданные и нести за это ответственность. Это могут быть работники кадровой службы или бухгалтерии. Ознакомить работников под роспись с этим документом. Как назначить ответственного за персданные, читайте здесь.
• Составить перечень персональных данных, которые будут обрабатывать в организации. В том числе те, которые передают третьим лицам: в ПФР, ГИТ, налоговую или статистику;
• Заранее разработать формы заявлений о согласии на обработку, хранение и передачу персональных сведений, также журналы учета и проверок — в случае если неожиданно придут проверяющие из Роскомнадзора или ФСТЭК;
• Выбрать место для хранения персональных данных на бумаге и оформить это приказом.
• Разработать и утвердить форму обязательства о неразглашении персональных данных и подписать его с сотрудниками, которые отвечают за работу с этой информацией;
• Подать уведомление в Роскомнадзор о том, что компания является оператором персональных данных, если еще не подали;
• После необходимо контролировать весь процесс работы с персональными данными, следить за изменениями в законодательстве и периодически проводить независимый аудит.

Полный пакет документов по работе с персональными данными скачайте здесь.

Срок действия и срок хранения согласий на обработку персональных данных

Не надо путать собственно персональные данные и письменное согласие на их обработку! Статья 5 № 152-ФЗ говорит о ПнД — это ФИО, дата рождения, паспортные и другие сведения о личности субъекта.

Срок хранения персональных данных работника оговорен в ст. 5 п.7 No-152 ФЗ. Его определяют:

• федеральные законы;
• сам сотрудник (в договорах, согласии);
• достижение цели обработки.

Когда цель обработки ПнД достигнута, личная информация обезличивается, уничтожается, если по отношению к ней не действуют другие нормы, к примеру, федеральные законодательные.

Срок действия разрешения субъекта на обработку его данных устанавливается на основании п. 4/8 ст. 9 No152-ФЗ, а именно — до даты, указанной в самом документе. Хранение согласий на обработку персональных данных нормирует Приказ Росархива от 20.12.2019 N 236 — 3 года после окончания этой даты или отзыва, если иное не предусматривается федеральными законами, договорами.

Срок хранения персональных данных сотрудника, соискателя, третьих лиц определяется им самим в согласии на обработку персональных данных. После этой даты обработка оканчивается, а личная информация уничтожается. Сведения о личности, которые содержатся в кадровых, бухгалтерских формах, обрабатываются, учитывая архивное законодательство. Хранение документов с персональными данными производится в соответствии с Приказом Росархива от 20.12.2019 N 236. К таким формам относятся: трудовое соглашение, приказы, личные карточки, графики отпусков и т.д.

Избыточное хранение данных в личных делах сотрудников

Часто кадровики в личных делах или папках служащих хранят копии паспортов, аттестатов, ИНН и т.д. Это признается незаконным, так как нарушает требования к хранению персональных данных. Хранение копий удостоверения личности, других документов, в которых есть персональные данные, квалифицируется как нарушение во время проведения проверок в части наличия у Оператора избыточных персональных данных.

Часть 5 статьи 5 No 152-ФЗ регулирует количество обрабатываемых персональных данных, их объем. Они должны коррелировать с целями обработки, которые вы заявили в Политике или других ЛНА. В законах и нормах РФ, посвященных обработке ПД на предприятии, устанавливаются объемы и характер персональных данных, которые запрашивают у сотрудника. Основной регламентирующий документ — Трудовой кодекс:

1. Ст. 86 содержит перечень норм, которыми стоит руководствоваться при при расчете объема и содержания ПнД. Это Конституция РФ, ТК РФ и др.
2. Ст. 65 ТК дает полный список документов с персональными сведениями, которые наниматель может требовать у сотрудника для заключения трудового договора.

Статья 65 ТК РФ не называет какие персональные данные может хранить и обрабатывать работодатель или сотрудник кадровой службы на протяжении трудовой деятельности работника. В законе перечислены документы, которые предъявляются при заключении трудового контракта.

Какие документы потребует работодатель, чтобы заключить трудовой договор — таблица

Другие документы требовать запрещается!

Сбор, обработку и хранение персональных данных о судимости вправе проводить муниципальные или госучреждения в рамках полномочий, предоставленных им законами РФ — пункт 3 ст. 10 No 152-ФЗ. В других случаях этот порядок определяется иными федеральными нормами.

ТК РФ предусматривает документы и персональные данные, которыми может оперировать работодатель. Это трудовой договор (статья 57 ТК РФ), в нем указаны:

• ФИО работника;
• сведения паспорта;
• трудовая книжка (ст. 66 ТК РФ);
• приказ о приеме на работу (ст. 68 ТК РФ) и т.д.

Для идентификации при устройстве на работу от сотрудника потребуется ФИО и предоставление им документа, подтверждающего личность. Этого достаточно. Поэтому хранение копий паспортных страниц расценивается проверяющими из Роскомнадзора как превышение объема требуемых персональных данных.

Особое внимание уделяет Роскомнадзор номенклатуре документов, которые содержатся в личных делах и папках сотрудников.

Формирование личного дела сотрудника

Личное дело — это систематизированный комплект форм, содержащих персональные данные работника. Это папка с документами, которые образуются и подшиваются в течение всего времени работы конкретного работника на предприятии.

Что касается других организаций — у них нет такой обязанности. Личные дела ведутся для упорядочения кадрового документооборота, а работодатель сам определяет их наполнение, исходя из собственных потребностей.

Как определить сроки хранения документов, содержащих персональные данные, в личном деле сотрудника:

• Ст. 22.1 Закона от 22.10. 2004 г. № 125-ФЗ;
• Приказ Росархива от 20.12.2019 N 236.

Ст. 5 No 152-ФЗ сформулировано требование относительно срока хранения персональных данных — не дольше исполнения целей обработки, исключая оговоренные законом условия. Эта норма установлена в отношении хранения собственно персональных данных, а не дубликатов документов, их включающих. В этой связи при обнаружении в личном деле или папке сотрудника дублей бланков с персональными данными, проверяющий признает это несоблюдением закона в части избыточности личных сведений по отношению к объявленным целям их обработки.

Если хранение дубликатов документов с конфиденциальной информацией нужно для исполнение требований закона, в иных целях, определенных работодателем (например, копии аттестата об образовании при направлении работника на обучение для предоставления их в учебное заведение), — такие дубли можно хранить.

Пример с копиями страниц паспорта показывает, что их хранение не обеспечивает точность и актуальность сведений о личности. Только оригинал — источник аутентичной информации. Это утверждение справедливо по отношению к дубликатам паспорта и других документов.

Постарайтесь избавиться от практики размещения в папках ненужных копий, которые, возможно, пригодятся «на всякий случай». Есть большой риск, что вас привлекут к административной ответственности, обозначенной в ст.13.11 КоАП за обработку персональных данных не в целях, заявленных для обработки.