Как хранить персональные данные?

Содержание

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1. из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Из этого материала вы узнаете:

  • Что такое персональные данные
  • Что указано в законе о хранении персональных данных
  • Каковы плюсы и минусы хранения персональных данных в электронном виде
  • В чём особенности хранения персональных данных работников в организации в электронном и бумажном носителе в 2020 году

Хранение персональных данных — задача не сложная, однако требующая от исполнителя четкого соблюдения всех правил и норм. К тому же, если их нарушить, можно получить крупный штраф. Законодательство РФ регулирует отношения в области хранения и обработки личных данных человека. Следовать данным нормам и правилам важно, вдобавок необходимо постоянно актуализировать эту информацию. Законы часто подвергаются изменениям, а также в них регулярно вносятся поправки. Из нашей статьи вы сможете узнать всю необходимую информацию относительно хранения и обработки личных данных человека.

Что такое персональные данные

Персональные данные, они же личные данные (далее по тексту ПД и ЛД), — информация, которая непосредственно связана с конкретным человеком.

Нашу жизнь уже невозможно представить без автоматизированных систем управления. Данные физических лиц постоянно попадают в различные базы и часто из них плавно утекают.

Чтобы защитить данную информацию физического лица, был создан федеральный закон, регулирующий порядок хранения и использования персональных данных.

Такое понятие, как персональные данные, — прежде всего юридический термин, нежели технический.

Как следствие, стала проще процедура защиты и снизились риски проникновения в личные данные сторонних лиц.

На сегодняшний день обработкой данных физлиц занимаются:

  • Банки.
  • Работодатели.
  • Органы государственной власти.
  • Другие организации, работа которых налагает обязанности по сбору и хранению персональных данных человека.

Работа с данной информацией обязательно должна быть организована с учетом всех норм и правил независимо от задач, требующих использования данной информации.

Среднестатистический человек чаще всего предоставляет свои личные данные для обработки в банковские учреждения. И в случае если становятся очевидны нарушения его прав, выход из положения — только судебные разбирательства. Одно неверное действие может привести к фатальным последствиям.

Рекомендуем

«Аутсорсинг персонала: виды, плюсы и минусы»

Желательно перед посещением учреждений, требующих предоставления личной информации — изучить нормативные акты, регулирующие обработку личных данных. Это даст вам возможность самостоятельно проконтролировать свои права в полном объеме.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» в ст. 3 дает определение персональным данным. Исходя из него ПД — любая информация, которая прямо или косвенно относится к субъекту ПД — определенному или определяемому физлицу (дальше по тексту — закон о персональных данных).

К общим личным данным относятся такие сведения, как:

  • ФИО;
  • место и дата рождения;
  • адрес места жительства (регистрации);
  • профессия, уровень образования;
  • фото человека (видеозаписи), которые позволяют установить личность и с этим умыслом использоваться оператором (разъяснения Роскомнадзора от 30.08.2013 года «О вопросах отнесения фотографий, видеозаписей, дактилоскопических данных и других сведений к биометрическим личным данным и особенностей их обработки»);
  • наличие детей, семейное положение, ближайшие родственники;
  • предыдущие места работы, армейская служба, работа на выборных должностях, государственная служба, наличие судимости и другие факты из биографии;
  • информация об уровне заработной платы тоже относится к личным данным (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • оценка личностных качеств человека, его навыки в работе и др.;
  • иные сведения, идентифицирующие человека.

Помимо данной информации, в законе о персональных данных упоминаются:

  • индивидуальные личные данные (раса, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь). Обработка таких данных запрещена. Исключением могут стать ситуации, предусмотренные ч. 2 ст. 10 закона о персональных данных;
  • биометрические личные данные (к ним относятся физиологические и биологические качества человека, идентифицирующие его личность). Чтобы обработать такую информацию, нужно получить согласие носителя личных данных. Исключением могут стать случаи, предусмотренные ч. 2 ст. 11 закона о персональных данных.

Закон о хранении персональных данных

Гражданин Российской Федерации имеет полное право призвать к соблюдению ФЗ о защите личных данных любую организацию. Эти сведения являются личными, и поэтому без разрешения физического лица их обработка недопустима. Только государственным органам разрешается не получать у физических лиц письменное согласие на хранение их персональных данных. В остальных случаях нарушение карается строго по закону.

Каждый год в ФЗ о персональных данных вносятся поправки. Работа с личными данными имеет много особенностей, в связи с этим важно заранее разобраться во всех тонкостях, дабы не допустить банальных ошибок.

Рекомендуемые статьи по данной теме:

  • Хобби как бизнес: +30 идей для запуска
  • Пример предложения о сотрудничестве: просто следуйте инструкциям!
  • Ключевые факторы успеха: будем умнее, чем Буратино

Данный момент по возможности нужно будет заранее разобрать: только так можно не допустить стандартных ошибок. Процесс этот имеет множество различных нюансов, тонкостей. Несоблюдение закона для юрлиц карается штрафом в несколько сотен тысяч рублей. Штрафы также налагаются и на должностных лиц — здесь размеры выплат начинаются от нескольких тысяч рублей.

Статья 87. Хранение и использование персональных данных работников:

  1. Ст. 5 федерального закона «О персональных данных» требует осуществлять хранение личной информации о человеке в форме, позволяющей идентифицировать субъекта личных данных. А также хранить данные столько времени, сколько необходимо для их обработки. После решения всех поставленных задач, для которых собиралась данная информация, ее нужно ликвидировать.

    Согласно ст. 6 федерального закона «О персональных данных» при передаче личных данных человека для обработки другому уполномоченному на это лицу важно прописать в договоре обязательства, которые обязуют указанное лицо обеспечить конфиденциальность и полную безопасность личных данных во время всех манипуляций.

  2. В Едином квалификационном справочнике должностей руководителей, специалистов и других служащих, утвержденном постановлением Минтруда России от 21 августа 1998 г. N 37*(116), в графе должностных обязанностей некоторых руководителей, а также специалистов можно увидеть информацию о том, что осуществление их трудовых функций основано на использовании личных данных работников.

На кого распространяется действие федерального закона «О персональных данных»?

Показатели

Описание

Физические лица

Их личные данные подвергаются обработке

Юридические лица или другие субъекты права

Они осуществляют сбор, обработку и хранение данных

В каждом договоре, где указываются ФИО человека, в обязательном порядке должен присутствовать раздел об обработке личных данных. Без письменного разрешения гражданина работать лично, а также передавать данные для обработки другим лицам запрещено.

Этим правилам необходимо следовать при работе с такими видами договоров, как:

  • кредитный;
  • трудовой;
  • о возмездном оказании услуг и др.

При работе со всеми видами договоров, указанных выше, необходимо брать у человека письменное согласие на обработку его личной информации. Подобное правонарушение влечет за собой юридическую ответственность. Именно поэтому важно своевременно знакомиться со всеми изменениями законодательства, связанного со сбором, обработкой, хранением личных данных человека.

При отказе заемщика возвращать полученную сумму кредита в срок и в порядке, предусмотренном кредитным договором, банки, как правило, передают задолженность клиента коллекторским агентствам. Это явное правонарушение с их стороны.

В такой ситуации гражданин вправе обратиться в ЦБ РФ, ведь именно там осуществляется контроль над работой банков. Дальнейшие шаги заемщика ведут в суд. Если опыта в составлении исков нет (а это нелегкая задача), лучше обратиться к специалистам. К тому же цена за подобную услугу у юристов небольшая. Помимо составления иска, специалист поможет собрать весь комплект документов, необходимых для судебных разбирательств.

Здесь главное не попасть в руки авантюристам, которых в данной области предостаточно. Перед подписанием договора на оказание юридических услуг важно его тщательно изучить.

Как уже говорилось ранее, законодательство в сфере защиты личных данных часто подвергается поправкам. Так, например, 01.07.2020 вступили в силу значительные изменения — в первую очередь нужно ознакомиться с ними, а потом уже подписывать договоры с юристами. Только в этом случае можно избежать ошибок.

Важно подчеркнуть: допущение ошибок вполне может послужить причиной признания договора целиком и полностью недействительным. Исходя из этого, важно заблаговременно разобраться во всех нормативно-правовых актах в данной сфере.

Все подробности относительно личных данных человека отражены в федеральном законе «О персональных данных». Хорошая осведомленность в области нормативных актов даст возможность самостоятельно разобраться во всех нюансах, а значит, риск допущения ошибок будет минимальным.

Вот основные моменты, которые важно тщательно проработать перед заключением каких-либо договоров:

  • специфика обработки личных данных;
  • существенные ошибки;
  • новые штрафные санкции;
  • основные моменты;
  • какими нормами законодательства регулируется.

Что значит обработка персональных данных

Согласно ст. 3 закона о персональных данных обработка личных данных — совокупность действий, связанных с личными данными. Операции могут совершаться с применением средств автоматизации или без них. Любая деятельность с использованием ПД охватывает все процессы и стадии работы с ними, а это: сбор, систематизация, запись, хранение, накопление, конкретизация (изменение, обновление), извлечение, применение, делегирование (распространение, предоставление, доступ), блокирование, обезличивание, ликвидация данных.

Работодатели, согласно закону о персональных данных, обязаны соблюдать требования к хранению персональных данных. Чтобы исключить все случаи, которые могут привести к судебным разбирательствам, следует получать от каждого претендента на должность письменное согласие на обработку его данных.

Законом предусмотрены некоторые случаи, при которых письменная форма согласия обязательна к применению (часть 4 ст. 9 закона о ПД). Это относится к таким ситуациям:

1) При передаче личных данных соискателя от третьей стороны (п. 3 ст. 86 Трудового кодекса РФ). В такой ситуации работника необходимо заблаговременно предупредить об этом и взять с него письменное согласие на обработку и хранение информации (п. 3 ст. 86 Трудового кодекса РФ).

В бланке, где соискатель дает свое согласие, нужно указать (п. 3 ст. 86 Трудового кодекса РФ):

  • цель получения личных данных соискателя у третьих лиц;
  • предполагаемые ресурсы приобретения информации (лица, у которых запрашиваются данные);
  • методы получения данных, их основные особенности;
  • вероятные последствия отказа работодателя в получении личных данных соискателя у третьего лица. При отказе работника изучить уведомление о возможном получении его личных данных у другого лица разумным будет составить соответствующий акт.

Если соискатель решил отозвать согласие на обработку своих личных данных, он имеет на это полное право (часть 2 ст. 9 закона о персональных данных).

Существует и такая информация, которую работодателям запрещено требовать у третьих лиц, даже если соискатель дает согласие. Та, что не связана с перечисленными в пункте 1 статьи 86 Трудового кодекса РФ задачами.

2) При передаче личных данных соискателя третьим лицам, кроме ситуаций, когда это нужно для предотвращения угрозы жизни и здоровью работника (абзац 2 статьи 88 Трудового кодекса Российской Федерации).

3) Для обработки отдельных категорий личных данных работника, напрямую связанных с вопросами трудового характера (п. 4 ст. 86 Трудового кодекса РФ, п. 1 ч. 2 ст. 10 закона о персональных данных). К ним можно причислить информацию о расе, национальности, религии, политических взглядах, философских убеждениях, показателях здоровья, интимных отношениях.

В том случае, если работник признан недееспособным, письменное разрешение на обработку его данных дает его законный представитель (опекун, родитель) (ч. 6 ст. 9 закона о персональных данных). А в случае ухода из жизни работника такое согласие оформляют его наследники, если, конечно, оно не было подписано самим работником при его жизни (ч. 7 ст. 9 закона о персональных данных).

Не при всех обстоятельствах требуется разрешение работника на обработку его личных данных. Так, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 закона о персональных данных, абзац 1 разъяснений Роскомнадзора):

  • из документов (материалов), предоставляемых работником при оформлении трудового договора;
  • по результатам обязательного предварительного медосмотра состояния здоровья (ст. 69 Трудового кодекса РФ, п. 3 разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, которые касаются обработки личных данных работников, соискателей на замещение вакантных должностей, а также лиц, состоящих в кадровом резерве», далее — разъяснения Роскомнадзора от 14.12.2012);
  • в количестве, установленном специальной формой № Т-2, включая личные данные близких родственников, и в других случаях, предусмотренных законодательством РФ (взыскание алиментов, получение доступа к гостайне, оформление соцвыплат) (пункт 2 разъяснений Роскомнадзора от 14.12.2012);
  • от рекрутингового агентства, работающего от имени соискателя (абзац 12 п. 5 разъяснений Роскомнадзора от 14.12.2012);
  • от лица самого человека, который выложил свою анкету в Интернете во время поиска работы, сделав ее доступной всем (пункт 10 часть 1 статьи 6 федерального закона от 27.07.2006 № 152-ФЗ, абзац 12 пункт 5 разъяснений Роскомнадзора от 14.12.2012);

то работодатель с разрешения соискателя может передать на обработку его личные данные другому лицу (часть 3 статьи 6 закона о ПД, абзац 2 пункт 5 разъяснений Роскомнадзора от 14.12.2012). Несмотря на это, работодатель все равно остается ответственным перед соискателем за действия третьего лица (часть 5 статьи 6 закона о ПД).

Плюсы и минусы хранения персональных данных в электронном виде

В электронном виде информация с личными данными хранится при помощи информационных систем и специально предназначенных для этого баз.

Плюсы хранения сведений о человеке в электронном виде:

  • не нужны дополнительные ресурсы;
  • не расходуется место и пространство;
  • быстро и комфортно работать с личными данными;
  • высокая защищенность от несанкционированного проникновения;
  • можно хранить сколько угодно времени;
  • нет необходимости в архивации.

Минусы хранения данных на электронном носителе:

  • нужно создавать резервные копии баз данных работников;
  • немалая стоимость программ и оборудования;
  • требуется управление информационными системами;
  • необходима высочайшая квалификация сотрудника, который будет работать с личными данными.

Чтобы обезопасить личные данные, хранящиеся в электронном виде, можно применять такие способы, как:

  • внедрение разрешительной системы доступа сотрудников к закрытой информации;
  • запрещение доступа сотрудников в помещения, где расположены технические средства, применяемые для обработки личных данных;
  • отлаженная система организации хранения и учета информационных носителей и т. д.

Хранение персональных данных работников в организации на электронном и бумажном носителе в 2020 году

Каждое устройство на работу подразумевает под собой передачу и хранение персональных данных работника работодателю. На первом этапе оформления трудовых отношений передаются такие данные, как фамилия, имя, отчество, дата рождения, адрес постоянного места жительства, гражданство, наличие семьи и детей, образование и т. д.

Если сотрудник продолжает работу на том же предприятии, его личное дело пополняется разнообразными документами: приказами о трудоустройстве, трудовым соглашением, первоначальными документами по зарплате, актами о премировании и другими. Где и каким образом предприятие хранит личные данные сотрудников?

1. Где разрешается хранить?

Места хранения персональных данных работника находятся в прямой зависимости от их формы. Существует 2 варианта хранения данных человека:

  • в бумажном виде;
  • в электронном виде.

Когда мы имеем дело с ответственным работодателем, то у него обычно дублируется информация. Данные хранятся в бумажном виде и в электронном. В обоих случаях данные обычно находятся у работодателя в кадровом отделе или же в бухгалтерии. Они закрываются ключом в пожароустойчивых сейфах. Ключ хранится у начальника кадрового отдела или главного бухгалтера.

Данные по сотрудникам, которые уже не работают на предприятии, чаще всего передаются в архив. Это отдельная комната для хранения информации. Там документы располагаются в алфавитном порядке, с указанием даты помещения в архив и даты окончания хранения. По истечении указанного времени данные подлежат уничтожению.

«Персонализированный поиск: что такое и для чего он нужен»

Сведения, находящиеся в электронном виде, хранят в локальной компьютерной сети.

Важно: данный формат электронных документов нуждается в обеспечении надежной системой безопасности в виде паролей, доступ к которым должен быть у ответственных сотрудников. Чтобы не утратить всю информацию в случае сбоя или потери главной базы, формируют резервную копию для архива. Ее располагают на съемном электронном носителе информации.

2. Общие правила

Следовать правилам хранения персональных данных крайне важно, иначе халатное отношение к делу со стороны руководства может повлечь за собой нарушение конституционного права человека на конфиденциальность личных данных. Статья 87 Трудового кодекса РФ гласит, что порядок хранения персональных данных сотрудника должен быть подготовлен и утвержден самим работодателем.

Причем он должен учесть все требования, которые отражены в Трудовом кодексе и иных федеральных законах. В приказе Минкультуры от 25 августа 2010 года № 558 указаны основные сроки хранения сведений о работниках, которые образуются в процессе деятельности предприятия.

Рассмотрим сроки более подробно:

  • Докладные и служебные записки, справки, приказы и их копии, а также выписки из приказов, заявления, которые не вошли в личные дела, хранятся в течение 5 лет.
  • Расчетно-платежные ведомости, расчетные листки по зарплате, а также информация о предоставленных пособиях, гонорарах, материальной помощи сотрудникам хранятся 5 лет, а если в документах отсутствуют лицевые счета — 75 лет.
  • Доверенности на получение денег и ТМЦ, в том числе расторгнутые доверенности на получение зарплаты и иных выплат. Данный вид сведений хранится в течение 5 лет.
  • Личные листки по учету кадров, анкеты для приема на работу, заявления, автобиографии, письма-рекомендации соискателей, которых не трудоустроили в организацию, хранят 3 года.
  • Письма о переводах сотрудников. Данный вид информации хранится 3 года.
  • Удостоверения для командировок хранят 5 лет.

3. Подробное руководство по применению задокументированной информации

  • Организовывать правильный подход к работе с личными данными человека, а также их хранение в бумажном формате необходимо на основании законов РФ: ст. 24 Конституции, гл. 14 Трудового кодекса РФ, ФЗ РФ от 27 июля 2006 года № 152 «О персональных данных», приказе Минкультуры РФ от 2010 года № 558, статьи 137 Уголовного кодекса РФ и др.
  • Для отделения личных данных от другой информации рекомендуется составлять подробный список-памятку сведений, которые можно отнести к личным данным.
  • Во время работы с личными данными сотрудников важно соблюдать следующие правила:
  • Использовать информацию следует только в целях обеспечения трудовых отношений с учетом требований действующего трудового законодательства.
  • Все сведения нужно запрашивать именно у их носителя.
  • В ситуации, когда запрос документов все-таки нужно осуществить из иных источников, крайне важно получить письменное разрешение сотрудника на обработку.
  • Работодателю запрещено запрашивать данные об интимной жизни своих сотрудников, их религии, участии в политических партиях, профсоюзах без разрешения работника, если иное не предусмотрено законодательством.
  • Не разрешается передавать эти сведения третьим лицам. Работникам выдается исключительно та информация, которая нужна, чтобы выполнить порученное им задание.
  • Некоторые документы хранятся в оригинальном виде: трудовой договор, трудовая книжка, допсоглашения, разнообразные приказы руководства сотруднику и др. Еще часть документов сотрудник предоставляет только для изучения или снятия копии. К ним относятся свидетельства о рождении детей, свидетельство о заключении брака, документ, удостоверяющий личность, и др.
  • Документы отдела кадров, связанные с личным делом, складываются в отдельную папку сотрудника. Папки распределяются по подразделениям компании и складываются в алфавитном порядке. Документы отдела бухгалтерии можно обрабатывать и хранить без привязки к сотруднику. Организовывать хранение такого рода документов необходимо согласно функциональным назначениям. К примеру:
  • расчетные листки по зарплате складываются в папку для расчетов оплаты труда;
  • командировочные документы — в папке для оплаты дополнительных мероприятий.
  • Папки со всеми документами помещают в сейф, доступ к которому должен быть предоставлен исключительно руководству организации, начальнику кадрового отдела, главному бухгалтеру.
  • Отдел кадров несет ответственность за инструктаж касательно порядка применения, обращения и хранения данных. Точно так же решается вопрос относительно хранения разрешения на обработку данных работника.

4. Хранение информации на электронных носителях

  • Любые действия, относящиеся к обработке и хранению личной информации сотрудника на электронном носителе, должны формироваться на указаниях актов законодательства, перечисленных выше.
  • По аналогии с бумажными носителями для электронных необходимо обозначать сведения, которые относятся к личным данным. Сюда относится такая информация, как личный адрес электронной почты работника, аккаунт (учетная запись, профиль) в соцсетях и т. д.
  • Все принятые документы, которые содержат личную информацию сотрудника, сканируются и отправляются в его электронное личное дело.
  • Допуск к базе данных в электронном формате должен быть предоставлен только руководителям организации, их заместителям, сотрудникам кадрового отдела и бухгалтерии, а также программистам.
  • Тем, кому разрешен доступ к электронной базе, предоставляется личный логин и пароль. В этом случае программа сможет автоматически запомнить сотрудника, вносившего какие-либо изменения в личные данные.
  • Обязательно нужно создавать, хранить и обновлять резервную копию базы данных на съемном носителе. Освежать эту информацию следует 1 и 15 числа каждого месяца. В случае если указанные даты выпадают на праздничный или выходной день, все манипуляции переносятся на следующий рабочий.

Личные данные человека часто подвергаются мошенническим действиям. По этой причине законодательно установлены основные правила защиты данной информации. Помимо этого, закон подробно описывает ответственность за нарушения в сфере обработки и хранения ПД. Вместе с тем важно отметить, что законы РФ в данном направлении еще сыроваты. Связано это с тем, что основная часть правил устанавливается на уровне локальных нормативных актов.

Система защиты при хранении персональных данных

Каким образом уберечь личные сведения человека? Федеральным законом № 152 установлены определенные меры по организации защиты личных данных человека:

  • меры, установленные законом, — государство обязует уполномоченного сотрудника, занимающегося обработкой информации, производить определенные манипуляции, одновременно запрещая некоторые из них;
  • технические — уполномоченный сотрудник предпринимает ряд мер, которые значительно усложняют проникновение иных лиц к личным данным о человеке.

Есть много методов хранения персональных данных о сотрудниках. К ним относятся замена цифровых данных, сокращение информации, распределение ее на хранение в нескольких местах.

Срок хранения персональных данных

Положение о хранении персональных данных устанавливает среди всех видов обработки персональных данных следующий порядок — ПД не должны храниться больше времени, чем потребуется для операции с информацией.

Вместе с тем период хранения данной информации в некоторых случаях закрепляется ФЗ России с помощью договора с субъектом, владеющим персональными данными. Оператор устанавливает конкретные временные рамки или вписывает условие для прекращения хранения и переработки персональных данных.

«Делегирование полномочий без досадных ошибок»

Закон «О персональных данных» правительства РФ (ст. 14) сообщает о временных сроках обработки ПД, относящихся к тем видам сведений, которые оператор в обязательном порядке предоставляет субъекту при соответствующем запросе последнего.

Штрафы за нарушение хранения персональных данных

Существует три типа ответственности, предусмотренной законодательством РФ:

  • гражданско-правовая закрепляется в соглашении или договоре, которые человек заключает с оператором персональных данных, и носит главным образом денежный характер;
  • административная ответственность устанавливается Кодексом об административных правонарушениях Российской Федерации и сопровождается предупреждением, штрафными санкциями;
  • уголовная ответственность возникает при тяжких нарушениях законодательства. Чаще всего к виновнику предъявляются или штрафные санкции, или уголовная статья, предусматривающая ограничение свободы.

Штрафы, предусмотренные за несоблюдение законодательства о персональных данных:

Показатели

Описание

По Кодексу об административных правонарушениях РФ

  • для граждан — в размере до 500 рублей;
  • для должностных лиц — от 500 до 1 тыс. рублей;
  • для юридических лиц — до 30 тыс. рублей.

Согласно ст. № 137 Уголовного кодекса РФ

  • в размере 200 тыс. рублей либо доход за период длительностью 18 месяцев — для физических лиц;
  • принудительные работы;
  • арест.

Персональные данные — это практически любая информация о физическом лице. Поэтому если Ваша организация работает с людьми, о которых Вы так или иначе информацию собираете, то эта инструкция будет Вам полезна. Она затронет следующие аспекты: получение согласия на обработку, уведомление субъекта персональных данных об обработке данных, уведомление Роскомнадзора, трансграничная передача данных, необходимость хранить персональные данные в России и организационные требования к оператору. Так что наберитесь терпения.

Законодательство о персональных данных в России аморфное — неясного в нем больше, чем доподлинно известного. Помимо «аморфности» законодательство еще вводит сложные и трудоемкие алгоритмы работы с персональными данными, что автоматически делает работу по его соблюдению более сложной, а данную инструкцию — более объемной.

Получение согласия

По общему правилу, если Вы обрабатываете (например, храните обращения граждан), то всегда лучше иметь согласие лица на обработку его персональных данных. Примерную форму такого согласия можно найти по ссылке.

Естественно, в работе правозащитных организаций иногда получить согласие человека невозможно. Например, при похищении человека или при применении пыток к заключенному. В законодательстве есть ряд исключений, которые позволяют обрабатывать персональные данные без согласия. Поэтому при работе с такими обращениями важно понимать, в какую категорию исключений они могут попасть (на случай, если к Вам после публикаций придет Роскомнадзор с проверкой). Но их немного:

Если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, и если получение согласия субъекта персональных данных невозможно. Как только угроза жизни или здоровью прекращается, обработка должна быть прекращена. При этом понять, когда, по мнению Роскомнадзора, угрозу можно считать прекращенной, например, при жалобах на пытки в СИЗО, не совсем ясно. Очевидно одно, что в течение короткого времени, данное исключение будет позволять работать с персональными данными, но если есть перспектива долгосрочной работы над обращением, лучше взять согласие.

Если есть договор между организацией и лицом (например, родственником пропавшего), в котором бенефициаром (человеком, в пользу которого договор исполняется) является лицо, чьи персональные данные подлежат обработке. Это может быть договор оказания услуг (например, юридических, и например, на безвозмездной основе). Поэтому если получение согласие от субъекта персональных данных никак невозможно, то рекомендуем заключить подобный договор с родственником. В таком случае, Вам будет, что предъявить Роскомнадзору при внеплановой проверке.

Однако если Вы обрабатываете данные, которые относятся к категории «специальные персональные данные» (это данные относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), то нужно обязательно брать согласие человека.

Уведомление Роскомнадзора

Помимо получения согласия на обработку персональных данных есть еще одна бюрократическая сложность. В некоторых случаях необходимо уведомлять Роскомнадзор о том, что Ваша организация обрабатывает персональные данные. Как только такое уведомление Роскомнадзор получает, Вашу организацию могут включить в список плановых проверок. Само уведомление заполнить несложно. Его форму можно найти . (ссылка на ).

В каких случаях можно не уведомлять Роскомнадзор:

  1. При обработке персональных данных работников организации
  2. Если персональные данные включают только фамилии, имена и отчества субъектов персональных данных.
  3. Если персональные данные обрабатываются для исполнения договора, который был заключен между организацией и субъектом персональных данных. Если Ваша организация не заключает договоры, но у Вас есть письменное обращение доверителя в Вашу организацию, то такое обращение также можно рассматривать в качестве основания для неуведомления Роскомнадзора. Обращаем внимание, что в случае заключения договора, в котором субъект персональных данных является бенефициаром (как, например, при похищениях и насильственных исчезновениях), а не стороной, то такой договор не освобождает от необходимости уведомления Роскомнадзора.
  4. Если данные обрабатываются без использования средств автоматизации. Многие общественные организации пользуются примерно следующим спектром офисных программ — Word, Excel, Power point + СПС типа Консультант. Мы полагаем, что обработка персональных данных с использованием данных программ не является обработкой с использованием автоматизации (почему мы так считаем, можете прочитать ). Таким образом, уведомлять Роскомнадзор об обработке не требуется. Однако судебная практика еще окончательно не ответила на этот вопрос. Поэтому если желаете перестраховаться, то лучше подать уведомление в Роскомнадзор.

Трансграничная передача персональных данных

Закон устанавливает, что трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Чаще всего правозащитные организации осуществляют трансграничную передачу в случае отправления жалоб в Европейский суд по правам человека или в органы ООН.

Требования законодательства таковы, что если трансграничная передача осуществляется не в безопасную страну (список безопасных стран можно посмотреть ), то необходимо или иметь договор с субъектом персональных данных, который бы предусматривал возможность такой передачи, или необходимо получить отдельное согласие на такую трансграничную передачу.

Хранение персональных данных на территории России

Может быть, помните, что начиная с лета 2014 года было много шума из-за принятия закона о персональных данных (№242-ФЗ)? Этот закон обязывает операторов персональных данных обеспечить запись, хранение (и прочие операции) персональных данных граждан РФ с использованием баз данных на территории РФ с 1 сентября 2015 года. Это означает, что персональные данные наших соотечественников должны храниться на российской территории. Однако это не означает, что за рубежом они не могут храниться вовсе. Согласно позиции Министерства связи, хранение данных за пределами РФ является возможным, если первоначальная обработка осуществлялась на территории РФ. Другими словами, можно иметь две базы данных – одна в России, а другая – за рубежом. При этом Роскомнадзор, скорее всего, не сможет проверить, насколько эти базы идентичны.

Организационные требования к НКО

Огромное внимание Роскомнадзор уделяет правильно составленным обязательным документам. Поэтому рекомендуем Вам в самое ближайшее время разработать и утвердить следующие документы:

  1. Правила обработки персональных данных (скачать образец)
  2. Порядок доступа работников в помещения, в которых проводится обработка персональных данных
  3. Документ о назначении лица, ответственного за организацию обработки персональных данных.

С правилами обработки персональных данных необходимо ознакомить всех работников НКО под роспись. Документы, содержащие персональные данные, должны храниться в запирающихся шкафах.

Закон также требует, чтобы персональные данные уничтожались тогда, когда их хранение уже не является необходимым. Например, жалоба была выиграна в Европейском суде, решение ЕСПЧ было исполнено, значит, данные нужно уничтожить. А об уничтожении составить акт.

Более того, мы Вам ранее рассказали, что закон требует, чтобы хранение и обработка велась в России, поэтому необходимо иметь документы, подтверждающие размещение баз данных на технических площадках (ЦОД, сервера) в России. Это могут быть либо собственные серверные мощности, либо арендованные.

Энциклопедия МИП » Трудовые споры » Защита прав работников » Хранение и использование персональных данных работников

Чтобы обезопасить граждан от неправомерного использования личных данных трудовым законодательством разрабатываются специальные нормативные акты.

Трудовые отношения предусматривают составление специальной документации и заключение трудовых договоров, распоряжений и приказов. Обязательным условием для подписания данных бумаг является внесение достоверных личных данных сторон (инициалов, фактического адреса, сведений о рабочей квалификации, должностных обязанностях и др.).

Чтобы обезопасить граждан от неправомерного использования личных данных трудовым законодательством разрабатываются специальные нормативные акты, в которых регламентируется обработка, передача и защита информации о сотрудниках работодателем. Поэтому все работодатели обязаны соблюдать порядок хранения и использования персональных данных работников.

Хранение персональных данных работников

Специальное нормативное положение, в котором определяются правила по распоряжению личной информацией сотрудников работодателем, предусматривает соблюдение определенных требований:

  • конкретная форма, в которой хранятся личные данные сотрудников, должна соответствовать всем требованиям и полностью идентифицировать субъекта личной информации;
  • срок сохранения информации не должен превышать времени, которого будет достаточно для воплощения целей, в соответствии с которой требуется обработка;
  • данные необходимо уничтожать непосредственно после достижения всех целей, для которых была организована обработка информации;
  • информация должна быть удалена в случае отсутствия необходимости дальнейшей обработки и использования данных.

Обработка, передача и защита личных сведений сотрудников поручается ответственному оператору, который должен соблюдать все правила и специальное законодательное положение. Если же по каким-либо причинам должностное лицо не может самостоятельно выполнять свои прямые обязанности, то он должен поручить обработку и защиту информационных данных иному сотруднику на основании официально заключенного договора.

Важнейшим условием данного документа является указание специальной обязанности, в соответствии с которой обеспечивается обработка, передача и защита личной информации при соблюдении конфиденциальности и полной безопасности.

Кто имеет право обрабатывать и использовать персональные данные

Должностные лица, которые сталкиваются с обработкой и сохранением личной информации сотрудников, должны исполнять специальное положение. Подобные документы и правила составляются работодателем, а также чаще всего издаются в форме должностных инструкций, коллективных и индивидуальных трудовых договоров и др.

Положение или распоряжение включает правила защиты данных сотрудников, устанавливает перечень лиц, которым подлежит обработка и эксплуатация информации, срок обработки, основания и условия предоставления информации и др.

Хранение и использование личной информации сотрудников входит в компетенцию должностных лиц, которые назначаются непосредственно работодателем. В обязанности данных граждан входит соблюдение всех норм по обработке и распоряжению личными данными подчиненных. Законодательными актами регламентируется срок, правила, а также перечень лиц на руководящих должностях, которые должны работать с личной информацией сотрудников:

  • главный специалист, который занимается защитой данных;
  • заместитель директора, в обязанности которого входит администрирование персоналом;
  • менеджер по управлению персоналом;
  • начальных отдела кадров.

На предприятиях и в компаниях обработка и сохранение личной информации также поручается рядовым работникам, например, бухгалтерам, инженерам по защите информации, управлению и подготовке кадров, документоводам, специалистам по защите данных и др.

Рядовые исполнительные должностные лица также сталкиваются с использованием и защитой информации в процессе выполнения своих обязанностей, например, секретари, референты, инспекторы и др., которые принимают заявления и различные документы.

Порядок хранения персональных данных работников

Должностное лицо обязано соблюдать специальное положение, в котором регламентируется обработка, сохранение и защита личной информации, личных дел сотрудников. Правила и порядок эксплуатации должны соблюдаться стороной работодателей. Данные лица должны обеспечить выполнение следующих функций:

  • составление и хранение первичной документации, которая издается в унифицированной форме;
  • сохранность бумаг, в которых ведется учет рабочих кадров;
  • хранение документации, в которой учитывается специфика распределения рабочего времени;
  • сохранность пакета документов, в котором ведется расчет об оплате труда рабочему персоналу.

Порядок и срок сохранения личной информации гражданских служащих определяет трудовое законодательство, а также специальное ведомственное положение.

Срок хранения

Специальное положение о сохранении и защите личной информации регламентирует срок, в пределах которого допускается использование и хранение личных данных. Соответственно, трудовые книжки и дубликаты, которые не были забраны или в случае смерти работников, размещаются в активах предприятиях на срок до востребования. Если же такие документы относятся к классу невостребованных бумаг, то они размещаются в архивах компаний на срок не менее пятидесяти лет.

Положение, в котором определяется специфика индивидуального учета в системе пенсионного страхования, устанавливает срок сохранения личных данных граждан работниками государственного пенсионного фонда. Срок хранения таких бумаг составляет не менее шести лет. Данные документы должны соответствовать следующим требованиям:

  • содержать в себе какие-либо данные об индивидуальном счете лица, которое застраховано программой социального страхования;
  • быть оформлены в установленной письменной форме и заверены соответствующими подписями граждан;
  • быть представлены в электронной форме, так как юридическая сила таких документов должна подтверждаться электронной цифровой подписью, при условии соблюдения законной процедуры подписания;
  • содержать в себе данные о всех страховых взносах лиц и страховом стаже граждан;
  • предоставляться работодателями в государственные заведения по пенсионному страхованию с целью индивидуального учета граждан в общей системе обязательного страхования для предоставления социальных пенсий.

Иные документы, которые содержат в себе данные о пенсионном страховании, хранятся в архивах пенсионных учреждений не мене трех лет. Соответствующие документы подлежат уничтожению, когда срок их хранения истекает.

В таком случае уничтожение бумаг возможно исключительно после факта ознакомления застрахованным лицом со всеми данными о лицевом счете и страховом стаже.

Акты, в которых указываются случаи расследований профессиональных заболеваний должны храниться не менее 75 лет в активах государственного учреждения, которое специализируется на санитарно-эпидемиологическом надзоре и вело дело о расследовании конкретного происшествия. Работодатели должны хранить следующие документы на протяжении 45 лет с копиями и материалами расследования:

  • акты о несчастных случаях на производстве;
  • акты о несчастных случаях, которые касаются группы лиц;
  • документы о расследовании тяжелого несчастного случая;
  • бумаги о несчастных случаях сл смертельным исходом и др.

Нормативные акты о защите данных

При разработке локальных нормативных актов, которые касаются защиты личной информации сотрудников, учитывается законодательное положение, а также специфика работы предприятия. В соответствующих нормативных актах регламентируются следующие положения:

  • перечень личной информации сотрудников, которые нужны работодателю для выполнения всех трудовых обязанностей;
  • список лиц, которые имеют право получать личные данные;
  • правила хранения, обработки, передачи, защиты и предоставления личной информации;
  • должностное лицо, которое имеет право хранить персональные данные сотрудников, а также осуществлять контроль за процессом сохранения информации.

Помимо обязанностей работодателя, нормативные акты включают перечень прав и обязанностей сотрудников, которые касаются необходимости предоставления достоверной информации, а также обеспечения надежного хранения данных и соблюдения конфиденциальности.

Еще совсем недавно вопрос о безопасном хранении персональной информации работников не привлекал столько внимания, как сейчас.

Российское законодательство требует от работодателей разработки комплекса мер по защите данных сотрудников. За несоблюдение этих требований руководителям предприятий грозит наказание в виде штрафов, приостановления лицензии, и даже ареста.

Вот почему многие организации всерьез занялись обеспечением информационной безопасности, защищая конфиденциальные сведения о своей деятельности, в том числе базы данных персонала.

Что такое

В Федеральном законе РФ «О персональных данных” отмечено, что любая информация, касающаяся прямо или косвенно определенного физического лица относится к персональным данным.

Это различные сведения о человеке: от ФИО, даты и места рождения до информации о доходах, здоровье и т.д.

Если обратиться к Трудовому кодексу РФ, то можно увидеть, что персональными данными считается информация, относящаяся к работнику и используемая работодателем в связи с трудовыми отношениями.

При поступлении на работу каждый сотрудник предоставляет организации (оператору) паспорт, военный билет, пенсионное свидетельство, ИНН и другие документы.

Поэтому, каждый работодатель, заключая с работником трудовой договор, становится обладателем сведений, относящихся к персональным данным.
И совершая любые действия с этими данными (например, сбор, запись, систематизацию, накопление, хранение и другие), предприятие осуществляет их обработку.

Персональные данные, с которыми приходится работать сотрудникам кадровой службы, носят конфиденциальный характер. Это означает, что лица, имеющие доступ к личной информации работников, без их разрешения или другого законного основания, не имеют права ее распространять.

Правила хранения персональных данных

ТК РФ обязывает каждого работодателя разрабатывать правила использования и хранения данных о персонале на своем предприятии, учитывая требования федеральных законов.

Принятые соответствующие нормы и правила, могут содержаться в локальном акте фирмы о персональных данных. Чаще всего, таким документом становится Положение о защите персональных данных работников, но не запрещается включать данный раздел в Правила внутреннего распорядка.

Каждого сотрудника необходимо ознакомить с данным нормативным актом, поскольку ТК РФ прямо указывает на права работников участвовать в разработке мероприятий по обеспечению безопасности персональных данных.

Для сохранения конфиденциальности персональных данных составляется список должностных лиц, имеющих к ним доступ, и разрабатывается форма документа, к примеру, «Соглашение о неразглашении», которое подписывают не только рядовые работники-исполнители (специалист по кадровой работе, бухгалтеры и др.), но и руководители подразделений, генеральный директор предприятия.

Физическое хранение персональных данных

Многие специалисты отдела кадров ведут личные дела работников традиционным способом и не желают от него отказываться.

Особенности этого заключаются в том, что вся информация о каждом работнике, представленная оригиналами и копиями документов накапливается в специально оформленной папке. При этом единых правил оформления личных дел в коммерческих организациях не существует.

Преимущества ведения личных дел:

  • все данные о сотруднике находятся в одном месте;
  • возможность четкой систематизации;
  • быстрый поиск информации о конкретном человеке.

Недостатки хранения персональной информации с комплектованием личных дел:

  • высокая трудоемкость (требуется регламент, подшивка документов, опись, сверка, архивирование);
  • требуются дополнительные ресурсы (сейфы, отдельные помещения и т.д.);
  • необходимы навыки работы с личными делами.

Часто персональная информация о работниках хранится на бумажных носителях, расположенных в разных тематических папках в соответствии с номенклатурой организации.

Возможность проверить отчет ПФР предоставляемый в 2014 г. по новой форме расчета для начисленных и уплаченных взносов обязательного пенсионного страхования в ПФР, и страховым взносам в Фонд обязательного мед. страхования, имеется в программе CheckXML.

Отчетности в ПФР бояться не стоит, несмотря на большое количество кодов и регистрационных номеров, которые необходимо отразить в документах. О том, как правильно подготовить отчет в ПФР читайте .

Все документы, касающиеся работников, одного назначения: трудовые договоры, документы анкетно-биографического характера, договоры материальной ответственности и т.д. размещаются в отдельные папки и выстраиваются в алфавитном порядке или по регистрационным номерам.

В сравнении с оформлением личных дел, такой способ хранения данных о работниках несет в себе меньше трудозатрат и не требует особых навыков от кадровика.

Однако раздельное хранение имеет и свои недостатки:

  • поиск информации о сотруднике занимает много времени;
  • существует более высокий риск раскрытия конфиденциальной информации.

Хранение персональных данных в электронном виде

При таком способе хранении практически вся персональная информация хранится в электронном виде с использованием базы персональных данных и информационных систем.

Преимущества хранения информации на электронных носителях:

  • нет необходимости в дополнительных ресурсах;
  • экономится место и пространство;
  • высокая скорость и удобство работы с персональными данными;
  • повышенная степень защиты от несанкционированного доступа;
  • срок хранения не ограничен сроками;
  • не нужен большой архив.

Недостатки хранения информации в электронном виде:

  • необходимо иметь резервные копии базы данных персонала;
  • программное обеспечение и специальное оборудование стоит не дешево;
  • требуется администрирование информационной системы;
  • нужна высокая грамотность сотрудника, работающего с персональными данными.

Для того, чтобы защитить персональные данные, хранящиеся в электронном виде используют следующие методы:

  • внедрение разрешительной системы допуска персонала к конфиденциальной информации;
  • ограничение доступа сотрудников в помещения, где находятся технические средства, используемые для обработки личных данных;
  • четкая организация хранения и учета информационных носителей и другие.

Обезопасить себя от потенциальных претензий со стороны финансовых структур и исключить риски в ведении предпринимательской деятельности позволит проверка контрагента на добросовестность.

Есть специальные сайты, где Вы можете проверить контрагента по налоговой просто введя номер его ИНН в специальную графу и получить результат мгновенно. О том, как провести проверку по ИНН узнайте .

У каждого из рассмотренного способа хранения персональных данных работников на предприятии свои недостатки и преимущества. Часто на практике они сочетаются: ведутся и личные дела, и электронные базы данных персонала.

В любом случае работодатель должен иметь согласие работников на обработку их персональной информации.
Так же необходимо учитывать материальные возможности для обеспечения защиты и сохранности документов, трудозатраты и квалификацию персонала кадровой службы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *