Порядок хранения и использования персональных данных работников: сроки и места архивирования сведений, могут ли их собирать без согласия на обработку?

Российское законодательство требует от работодателей разработки комплекса мер по защите данных сотрудников. За несоблюдение этих требований руководителям предприятий грозит наказание в виде штрафов, приостановления лицензии, и даже ареста.

Вот почему многие организации всерьез занялись обеспечением информационной безопасности, защищая конфиденциальные сведения о своей деятельности, в том числе базы данных персонала.

Что такое

В Федеральном законе РФ “О персональных данных” отмечено, что любая информация, касающаяся прямо или косвенно определенного физического лица относится к персональным данным.

Это различные сведения о человеке: от ФИО, даты и места рождения до информации о доходах, здоровье и т.д.

Если обратиться к Трудовому кодексу РФ, то можно увидеть, что персональными данными считается информация, относящаяся к работнику и используемая работодателем в связи с трудовыми отношениями.

При поступлении на работу каждый сотрудник предоставляет организации (оператору) паспорт, военный билет, пенсионное свидетельство, ИНН и другие документы.

Поэтому, каждый работодатель, заключая с работником трудовой договор, становится обладателем сведений, относящихся к персональным данным.

И совершая любые действия с этими данными (например, сбор, запись, систематизацию, накопление, хранение и другие), предприятие осуществляет их обработку.

Персональные данные, с которыми приходится работать сотрудникам кадровой службы, носят конфиденциальный характер. Это означает, что лица, имеющие доступ к личной информации работников, без их разрешения или другого законного основания, не имеют права ее распространять.

Правила хранения персональных данных

  Защита персональных данных

Принятые соответствующие нормы и правила, могут содержаться в локальном акте фирмы о персональных данных. Чаще всего, таким документом становится Положение о защите персональных данных работников, но не запрещается включать данный раздел в Правила внутреннего распорядка.

Каждого сотрудника необходимо ознакомить с данным нормативным актом, поскольку ТК РФ прямо указывает на права работников участвовать в разработке мероприятий по обеспечению безопасности персональных данных.

Для сохранения конфиденциальности персональных данных составляется список должностных лиц, имеющих к ним доступ, и разрабатывается форма документа, к примеру, «Соглашение о неразглашении», которое подписывают не только рядовые работники-исполнители (специалист по кадровой работе, бухгалтеры и др.), но и руководители подразделений, генеральный директор предприятия.

Физическое хранение персональных данных

Многие специалисты отдела кадров ведут личные дела работников традиционным способом и не желают от него отказываться.

Особенности этого заключаются в том, что вся информация о каждом работнике, представленная оригиналами и копиями документов накапливается в специально оформленной папке. При этом единых правил оформления личных дел в коммерческих организациях не существует.

Преимущества ведения личных дел:

• все данные о сотруднике находятся в одном месте;
• возможность четкой систематизации;
• быстрый поиск информации о конкретном человеке.

Недостатки хранения персональной информации с комплектованием личных дел:

• высокая трудоемкость (требуется регламент, подшивка документов, опись, сверка, архивирование);
• требуются дополнительные ресурсы (сейфы, отдельные помещения и т.д.);
• необходимы навыки работы с личными делами.

Часто персональная информация о работниках хранится на бумажных носителях, расположенных в разных тематических папках в соответствии с номенклатурой организации.

Возможность проверить отчет ПФР предоставляемый в 2014 г. по новой форме расчета для начисленных и уплаченных взносов обязательного пенсионного страхования в ПФР, и страховым взносам в Фонд обязательного мед. страхования, имеется в программе CheckXML.

Отчетности в ПФР бояться не стоит, несмотря на большое количество кодов и регистрационных номеров, которые необходимо отразить в документах. О том, как правильно подготовить отчет в ПФР читайте здесь.

Все документы, касающиеся работников, одного назначения: трудовые договоры, документы анкетно-биографического характера, договоры материальной ответственности и т.д. размещаются в отдельные папки и выстраиваются в алфавитном порядке или по регистрационным номерам.

В сравнении с оформлением личных дел, такой способ хранения данных о работниках несет в себе меньше трудозатрат и не требует особых навыков от кадровика.

Однако раздельное хранение имеет и свои недостатки:

• поиск информации о сотруднике занимает много времени;
• существует более высокий риск раскрытия конфиденциальной информации.

  Обработка персональных данных

Хранение персональных данных в электронном виде

При таком способе хранении практически вся персональная информация хранится в электронном виде с использованием базы персональных данных и информационных систем.

Преимущества хранения информации на электронных носителях:

• нет необходимости в дополнительных ресурсах;
• экономится место и пространство;
• высокая скорость и удобство работы с персональными данными;
• повышенная степень защиты от несанкционированного доступа;
• срок хранения не ограничен сроками;
• не нужен большой архив.

Недостатки хранения информации в электронном виде:

• необходимо иметь резервные копии базы данных персонала;
• программное обеспечение и специальное оборудование стоит не дешево;
• требуется администрирование информационной системы;
• нужна высокая грамотность сотрудника, работающего с персональными данными.

Для того, чтобы защитить персональные данные, хранящиеся в электронном виде используют следующие методы:

• внедрение разрешительной системы допуска персонала к конфиденциальной информации;
• ограничение доступа сотрудников в помещения, где находятся технические средства, используемые для обработки личных данных;
• четкая организация хранения и учета информационных носителей и другие.

Обезопасить себя от потенциальных претензий со стороны финансовых структур и исключить риски в ведении предпринимательской деятельности позволит проверка контрагента на добросовестность.

Есть специальные сайты, где Вы можете проверить контрагента по налоговой просто введя номер его ИНН в специальную графу и получить результат мгновенно. О том, как провести проверку по ИНН узнайте здесь.

У каждого из рассмотренного способа хранения персональных данных работников на предприятии свои недостатки и преимущества. Часто на практике они сочетаются: ведутся и личные дела, и электронные базы данных персонала.

В любом случае работодатель должен иметь согласие работников на обработку их персональной информации.

Так же необходимо учитывать материальные возможности для обеспечения защиты и сохранности документов, трудозатраты и квалификацию персонала кадровой службы.

  Персональные данные

Источник: https://tvoi.biz/biznes/personalnye-dannye/hranenie-personalnyh-dannyh.html

Защита и хранение персональных данных работника

Назад к списку новостей Информация ГИТ Псковской области

• Государственная инспекция труда в Псковской области напоминает: об обработке, защите, хранении, использовании персональных данных работника говорится в статьях Трудового кодекса РФ 86-90. 
• Работодатель при обработке персональных данных работника обязан соблюдать общие требования: 
• 1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
•  2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым Кодексом и иными федеральными законами; 

 3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение; 

1.  4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных; 
2.  5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности; 
3.  6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения; 
4.  7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств; 
5.  8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области; 
6.  9) работники не должны отказываться от своих прав на сохранение и защиту тайны;
7.  10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. 
8. Порядок хранения и использования персональных данных работников устанавливается работодателем. 
9. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

• не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника;
• не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
• предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);
• осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись; 
• разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

• полную информацию об их персональных данных и обработке этих данных;
• свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника;  
• определение своих представителей для защиты своих персональных данных;
• доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
• требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
• требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных. 

Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Источник: https://git60.rostrud.ru/news/788143.html

Источник: https://www.profiz.ru/sr/blog/post_2634/

Срок хранения персональных данных

Одним из основных принципов работы с данными является требование соблюдать срок хранения персональных данных. Причем Закон о персональных данных не содержит конкретных сроков. Что остается делать оператору? А тем более оператору-работодателю? Об этом расскажем ниже. А общие требования к хранению персональных данных и мероприятий по защите таких данных размещены в отдельных публикациях.

Максимальный срок хранения персональных данных

Существенное условие согласия на обработку персональных данных – срок, на который оно дается. Получается, что по истечении этого срока данные должны либо уничтожаться, либо подлежат обезличиванию, блокировке. При этом субъект данных может направить отзыв согласия на обработку персональных данных. И таким образом, срок хранения автоматически сократится. 

Согласно части 7 статьи 5 Закона о персональных данных срок хранения данных определяет:

• достижение цели обработки персональных данных
• утрата необходимости в достижении цели обработки
• истечение срока хранения, который установлен договором
• срок хранения данных, установленных федеральным законом

В России действует Закон об архивном деле. В развитие его положений Министерство культуры утвердило перечень типовых архивных документов со сроками хранения (приказ от 25.08.2010 г. № 558). Эти нормативные акты определяют срок хранения некоторых персональных данных. Точнее, их материальных носителей. 

Почему иногда разумно принимать меры по обезличиванию, а не уничтожению данных? Есть сроки исковой давности. И в случае необходимости обращения в суд персональные данные могут пригодиться. А если их хранить без обезличивания, возможно наступление ответственности. 

Срок хранения личных дел работодателем

Организация заводит на каждого работника по трудовому договору личную карточку и личное дело. Личная карточка – обязательный документ. Дело же работодатель заводит по собственному желанию (кроме гос.органов и учреждений). В то же время личное дело – более информативно. Ведь здесь работодатель хранит копии документов – паспорта РФ, приказа о приеме на работу, трудовой договор и т.п.

Сразу после увольнения работника работодатель должен изъять из личного дела копии паспорта, СНИЛС, документов об образовании и всех иных, которые содержат персональные данные. Однако в силу ст. 17 и 22.

1 Закона об архивном деле работодатель обязан хранить документы, подтверждающие факт работы, документы о заработной плате, об отчислениях в ПФР и т.п. Хранит организация и невостребованные документы.

Как избежать возможных штрафов за хранение персональных данных работника после его увольнения? Мы рекомендуем прописать сроки хранения в Положении о персональных данных организации, а также от каждого работника получать согласие на обработку данных. 

Источник: https://iskiplus.ru/srok-xraneniya-personalnyx-dannyx/

Использование и хранение персональных данных работников

Персональные данные (серию и номер паспорта, ФИО и возраст, информацию о месте жительства, детях, стаже, профессиональной деятельности и т.д.) работодатель не может использовать только по своему усмотрению.

Его права и обязанности четко регламентированы в ТК РФ (статьях 87, 88, 89) и Положении о работе с персональными данными. 

Порядок использования персональных данных

Использование и хранение персональных данных работников (документов, в которых содержатся эти данные) осуществляется согласно Трудовому кодексу и внутреннему распорядку компании.

Согласно статье 88 ТК РФ, персональные данные:

1. Могут быть использованы только в определенных целях (например, для решения рабочего вопроса). При этом должны быть переданы только те данные, которые требуются в конкретном случае. Например, информация о детях, семейном положении, прописке для выполнения работы не требуется.
2. Могут передаваться другим лицам только в рамках локального нормативного акта. С ним нужно ознакомить сотрудника до передачи его данных. Сотрудник должен дать письменное согласие.
3. Могут быть переданы третьим лицам только с письменного разрешения сотрудника, если это не касается угрозы его жизни и здоровью.
4. Не должны касаться состояния здоровья сотрудника, если оно не препятствует работе. Запрашивать данные о предыдущих болезнях, количестве больничных и т.д. работодатель не имеет права.
5. Обрабатываются уполномоченным лицом (на этого сотрудника необходимо составить приказ от имени директора компании).

Согласно статье 89 ТК РФ, работник может получит доступ к документам, в которых содержатся персональные данные, в любое время. Их предоставляют бесплатно. В число таких документов входят и медицинские. Работник может не только ознакомиться с ними, но и потребовать копию. Если при проверке он обнаружил ошибки, он может потребовать исправить их, уведомив ответственное лицо.

Правила хранения персональных данных сотрудников

Согласно ТК РФ, работодатель обязан обеспечить сохранность документов с персональной информацией, защитив ее от неправомерного использования, а сами документы — от утраты. Кроме того, он должен предоставить сотруднику возможность ознакомиться с информацией в любое время.

Общие правила хранения:

1. Документы необходимо разместить в отдельном помещении с сейфами и запираемыми шкафами. В несгораемые сейфы размещают трудовые книжки, в шкафы — личные карточки, приказы, справки и прочие документы.
2. Доступ к документам должен быть ограничен. Работать с ними может только уполномоченное лицо и сам сотрудник, чьи данные хранятся у работодателя. Другие лица получают доступ только по письменному разрешению или для решения конкретной задачи.
3. Работодатель должен установить требования к получению и использованию данных. Эти требования не должны нарушать ТК РФ и конституционные права. Так, их нельзя передавать без согласия сотрудника, использовать в личных целях и т.д.
4. С данными требованиями должны быть ознакомлены все лица, допущенные к работе с персональными данными.

Ответственность за нарушение правил

Ответственность за нарушение правил хранения и использования персональных данных несет юридическое лицо, руководитель и уполномоченный за работу с документами сотрудник. К нарушениям относят:

• неправомерную передачу документов третьим лицам;
• ошибки при заполнении документов, их утерю;
• неправильное хранение.

Если нарушения были выявлены в ходе проверке, ответственных лиц и компанию ждут штрафы. Более серьезную ответственность они понесут, если эти нарушения привели к ущербу.

Подготовка документов для трудовой инспекции
– что проверит инспекция по труду и как готовиться к проверке

Источник: https://otot.ru/kadrovoe-deloproizvodstvo-dannye/

Хранение и обработка персональных данных. Инструкция

Персональные данные — это практически любая информация о физическом лице. Поэтому если Ваша организация работает с людьми, о которых Вы так или иначе информацию собираете, то эта инструкция будет Вам полезна.

 Она затронет следующие аспекты: получение согласия на обработку, уведомление субъекта персональных данных об обработке данных, уведомление Роскомнадзора, трансграничная передача данных, необходимость хранить персональные данные в России и организационные требования к оператору.  Так что наберитесь терпения.

Законодательство о персональных данных в России аморфное — неясного в нем больше, чем доподлинно известного. Помимо «аморфности» законодательство еще вводит сложные и трудоемкие алгоритмы работы с персональными данными, что автоматически делает работу по его соблюдению более сложной, а данную инструкцию —  более объемной.

Получение согласия

По общему правилу, если Вы обрабатываете (например, храните обращения граждан), то всегда лучше иметь согласие лица на обработку его персональных данных. Примерную форму такого согласия можно найти по ссылке.

Естественно, в работе правозащитных организаций иногда получить согласие человека невозможно. Например, при похищении человека или при применении пыток к заключенному.

В законодательстве есть ряд исключений, которые позволяют обрабатывать персональные данные без согласия.

Поэтому при работе с такими обращениями важно понимать, в какую категорию исключений они могут попасть (на случай, если к Вам после публикаций придет Роскомнадзор с проверкой). Но их немного:

Если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, и если получение согласия субъекта персональных данных невозможно. Как только угроза жизни или здоровью прекращается, обработка должна быть прекращена.

При этом понять, когда, по мнению Роскомнадзора, угрозу можно считать прекращенной, например, при жалобах на пытки в СИЗО, не совсем ясно.

Очевидно одно, что в течение короткого времени, данное исключение будет позволять работать с персональными данными, но если есть перспектива долгосрочной работы над обращением, лучше взять согласие.    

Это может быть договор оказания услуг (например, юридических, и например, на безвозмездной основе). Поэтому если получение согласие от субъекта персональных данных никак невозможно, то рекомендуем заключить подобный договор с родственником.

В таком случае, Вам будет, что предъявить Роскомнадзору при внеплановой проверке.

Однако если Вы обрабатываете данные, которые относятся к категории «специальные персональные данные» (это данные относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), то нужно обязательно брать согласие человека.

Уведомление Роскомнадзора

Помимо получения согласия на обработку персональных данных есть еще одна бюрократическая сложность.

В некоторых случаях необходимо уведомлять Роскомнадзор о том, что Ваша организация обрабатывает персональные данные.

Как только такое уведомление Роскомнадзор получает, Вашу организацию могут включить в список плановых проверок.  Само уведомление заполнить несложно. Его форму можно найти здесь. (ссылка на  ).

В каких случаях можно не уведомлять Роскомнадзор:

1. При обработке персональных данных работников организации
2. Если персональные данные включают только  фамилии, имена и отчества субъектов персональных данных.
3. Если персональные данные обрабатываются для исполнения договора, который был заключен между организацией и субъектом персональных данных. Если Ваша организация не заключает договоры, но у Вас есть письменное обращение доверителя в Вашу организацию, то такое обращение также можно рассматривать в качестве основания для неуведомления Роскомнадзора.  Обращаем внимание, что в случае заключения договора, в котором субъект персональных данных является бенефициаром (как, например, при похищениях и насильственных исчезновениях), а не стороной, то такой договор не освобождает от необходимости уведомления Роскомнадзора.  
4. Если данные обрабатываются без использования средств автоматизации. Многие общественные организации пользуются примерно следующим спектром офисных программ — Word, Excel, Power point + СПС типа Консультант. Мы полагаем, что обработка персональных данных с использованием данных программ не является обработкой с использованием автоматизации (почему мы так считаем, можете прочитать здесь). Таким образом, уведомлять Роскомнадзор об обработке не требуется. Однако судебная практика еще окончательно не ответила на этот вопрос. Поэтому если желаете перестраховаться, то лучше подать уведомление в Роскомнадзор.     

Трансграничная передача персональных данных

Закон устанавливает, что трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.  Чаще всего правозащитные организации осуществляют трансграничную передачу в случае отправления жалоб в Европейский суд по правам человека или в органы ООН.

Требования законодательства таковы, что если трансграничная передача осуществляется не в безопасную страну (список безопасных стран можно посмотреть здесь), то необходимо или иметь договор с субъектом персональных данных, который бы предусматривал возможность такой передачи, или необходимо получить отдельное согласие на такую трансграничную передачу.

Хранение персональных данных на территории России

Может быть, помните, что начиная с лета 2014 года было много шума из-за принятия закона о персональных данных (№242-ФЗ)? Этот закон обязывает операторов персональных данных обеспечить запись, хранение (и прочие операции) персональных данных граждан РФ с использованием баз данных на территории РФ с 1 сентября 2015 года.  Это означает, что персональные данные наших соотечественников должны храниться на российской территории. Однако это не означает,  что за рубежом они не могут храниться вовсе. Согласно позиции Министерства связи, хранение данных за пределами РФ является возможным, если первоначальная обработка осуществлялась на территории РФ. Другими словами, можно иметь две базы данных – одна в России, а другая – за рубежом. При этом Роскомнадзор, скорее всего, не сможет проверить, насколько эти базы  идентичны.

Организационные требования к НКО

Огромное внимание Роскомнадзор уделяет правильно составленным обязательным документам. Поэтому рекомендуем Вам в самое ближайшее время разработать и утвердить следующие документы:

1. Правила обработки персональных данных (скачать образец)
2. Порядок доступа работников в помещения, в которых проводится обработка персональных данных
3. Документ о назначении лица, ответственного за организацию обработки персональных данных.

С правилами обработки персональных данных необходимо ознакомить всех работников НКО под роспись. Документы, содержащие персональные данные, должны храниться в запирающихся шкафах.

Закон также требует, чтобы персональные данные уничтожались тогда, когда их хранение уже не является необходимым. Например, жалоба была выиграна в Европейском суде, решение ЕСПЧ было исполнено, значит, данные нужно уничтожить. А об уничтожении составить акт.  

Более того, мы Вам ранее рассказали, что закон требует, чтобы хранение  и обработка велась в России, поэтому необходимо иметь документы, подтверждающие размещение баз данных на технических площадках (ЦОД, сервера) в России. Это могут быть либо собственные серверные мощности, либо арендованные.

Источник: https://hrdco.org/manual/hranenie-i-obrabotka-personalnyh-dannyh-instruktsiya/

Обработка персональных данных работников без их согласия

• «Кадровик. Кадровое делопроизводство», 2013, N 5
• ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ БЕЗ ИХ СОГЛАСИЯ
• Статья рассказывает, что существуют ситуации, в которых у работодателя существует обязанность по обработке или публикации персональных данных работника без его согласия.
• Обработка персональных данных работника, государственного служащего не требует получения соответствующего согласия указанных лиц при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством Российской Федерации о государственной гражданской службе.
• Объем и цели обработки персональных данных

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.

Обработке подлежат только персональные данные, которые отвечают целям этой обработки.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях — и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Хранение персональных данных

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Обработка без согласия

Работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка, являющимися, как правило, приложением к коллективному договору, соглашением, а также локальными актами работодателя, принятыми в порядке, установленном ст. 372 ТК РФ.

1. Кроме того, получения работодателем согласия на обработку персональных данных не требуется в специально указанных случаях:
2. — если существует обязанность по обработке персональных данных, предусмотренная законодательством РФ;
3. — обработка персональных данных предусмотрена унифицированными формами;
4. — передача данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника;
5. — обработка персональных данных необходима при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя.
6. Требования законодательства
7. Обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет, может быть предусмотрена законодательством Российской Федерации.

Источник: https://hr-portal.ru/article/obrabotka-personalnyh-dannyh-rabotnikov-bez-ih-soglasiya

Хранение и использование персональных данных работников

Энциклопедия Сервиса бесплатных юридических консультаций » Трудовые споры » Защита прав работников » Хранение и использование персональных данных работников

Чтобы обезопасить граждан от неправомерного использования личных данных трудовым законодательством разрабатываются специальные нормативные акты.

Содержание

Трудовые отношения предусматривают составление специальной документации и заключение трудовых договоров, распоряжений и приказов. Обязательным условием для подписания данных бумаг является внесение достоверных личных данных сторон (инициалов, фактического адреса, сведений о рабочей квалификации, должностных обязанностях и др.).

Чтобы обезопасить граждан от неправомерного использования личных данных трудовым законодательством разрабатываются специальные нормативные акты, в которых регламентируется обработка, передача и защита информации о сотрудниках работодателем. Поэтому все работодатели обязаны соблюдать порядок хранения и использования персональных данных работников.

Хранение персональных данных работников

Специальное нормативное положение, в котором определяются правила по распоряжению личной информацией сотрудников работодателем, предусматривает соблюдение определенных требований:

• конкретная форма, в которой хранятся личные данные сотрудников, должна соответствовать всем требованиям и полностью идентифицировать субъекта личной информации;
• срок сохранения информации не должен превышать времени, которого будет достаточно для воплощения целей, в соответствии с которой требуется обработка;
• данные необходимо уничтожать непосредственно после достижения всех целей, для которых была организована обработка информации;
• информация должна быть удалена в случае отсутствия необходимости дальнейшей обработки и использования данных.

Обработка, передача и защита личных сведений сотрудников поручается ответственному оператору, который должен соблюдать все правила и специальное законодательное положение.

Если же по каким-либо причинам должностное лицо не может самостоятельно выполнять свои прямые обязанности, то он должен поручить обработку и защиту информационных данных иному сотруднику на основании официально заключенного договора.

Важнейшим условием данного документа является указание специальной обязанности, в соответствии с которой обеспечивается обработка, передача и защита личной информации при соблюдении конфиденциальности и полной безопасности. 

Кто имеет право обрабатывать и использовать персональные данные

Должностные лица, которые сталкиваются с обработкой и сохранением личной информации сотрудников, должны исполнять специальное положение. Подобные документы и правила составляются работодателем, а также чаще всего издаются в форме должностных инструкций, коллективных и индивидуальных трудовых договоров и др.

Положение или распоряжение включает правила защиты данных сотрудников, устанавливает перечень лиц, которым подлежит обработка и эксплуатация информации, срок обработки, основания и условия предоставления информации и др.    

Хранение и использование личной информации сотрудников входит в компетенцию должностных лиц, которые назначаются непосредственно работодателем.

Законодательными актами регламентируется срок, правила, а также перечень лиц на руководящих должностях, которые должны работать с личной информацией сотрудников:

• главный специалист, который занимается защитой данных;
• заместитель директора, в обязанности которого входит администрирование персоналом;
• менеджер по управлению персоналом;
• начальных отдела кадров.

На предприятиях и в компаниях обработка и сохранение личной информации также поручается рядовым работникам, например, бухгалтерам, инженерам по защите информации, управлению и подготовке кадров, документоводам, специалистам по защите данных и др.

Рядовые исполнительные должностные лица также сталкиваются с использованием и защитой информации в процессе выполнения своих обязанностей, например, секретари, референты, инспекторы и др., которые принимают заявления и различные документы.  

Порядок хранения персональных данных работников

Должностное лицо обязано соблюдать специальное положение, в котором регламентируется обработка, сохранение и защита личной информации, личных дел сотрудников. Правила и порядок эксплуатации должны соблюдаться стороной работодателей.  Данные лица должны обеспечить выполнение следующих функций:

• составление и хранение первичной документации, которая издается в унифицированной форме;
• сохранность бумаг, в которых ведется учет рабочих кадров;
• хранение документации, в которой учитывается специфика распределения рабочего времени;
• сохранность пакета документов, в котором ведется расчет об оплате труда рабочему персоналу.

Порядок и срок сохранения личной информации гражданских служащих определяет трудовое законодательство, а также специальное ведомственное положение.

Срок хранения

Специальное положение о сохранении и защите личной информации регламентирует срок, в пределах которого допускается использование и хранение личных данных.

Соответственно, трудовые книжки и дубликаты, которые не были забраны или в случае смерти работников, размещаются в активах предприятиях на срок до востребования.

Если же такие документы относятся к классу невостребованных бумаг, то они размещаются в архивах компаний на срок не менее пятидесяти лет.

Положение, в котором определяется специфика индивидуального учета в системе пенсионного страхования, устанавливает срок сохранения личных данных граждан работниками государственного пенсионного фонда.  Срок хранения таких бумаг составляет не менее шести лет. Данные документы должны соответствовать следующим требованиям:

• содержать в себе какие-либо данные об индивидуальном счете лица, которое застраховано программой социального страхования;
• быть оформлены в установленной письменной форме и заверены соответствующими подписями граждан;
• быть представлены в электронной форме, так как юридическая сила таких документов должна подтверждаться электронной цифровой подписью, при условии соблюдения законной процедуры подписания;
• содержать в себе данные о всех страховых взносах лиц и страховом стаже граждан;
• предоставляться работодателями в государственные заведения по пенсионному страхованию с целью индивидуального учета граждан в общей системе обязательного страхования для предоставления социальных пенсий.  

Иные документы, которые содержат в себе данные о пенсионном страховании, хранятся в архивах пенсионных учреждений не мене трех лет. Соответствующие документы подлежат уничтожению, когда срок их хранения истекает.

В таком случае уничтожение бумаг возможно исключительно после факта ознакомления застрахованным лицом со всеми данными о лицевом счете и страховом стаже.

Акты, в которых указываются случаи расследований профессиональных заболеваний должны храниться не менее 75 лет в активах государственного учреждения, которое специализируется на санитарно-эпидемиологическом надзоре и вело дело о расследовании конкретного происшествия. Работодатели должны хранить следующие документы на протяжении 45 лет с копиями и материалами расследования:

• акты о несчастных случаях на производстве;
• акты о несчастных случаях, которые касаются группы лиц;
• документы о расследовании тяжелого несчастного случая;
• бумаги о несчастных случаях сл смертельным исходом и др.

Нормативные акты о защите данных

При разработке локальных нормативных актов, которые касаются защиты личной информации сотрудников, учитывается законодательное положение, а также специфика работы предприятия. В соответствующих нормативных актах регламентируются следующие положения:

• перечень личной информации сотрудников, которые нужны работодателю для выполнения всех трудовых обязанностей;
• список лиц, которые имеют право получать личные данные;
• правила хранения, обработки, передачи, защиты и предоставления личной информации;
• должностное лицо, которое имеет право хранить персональные данные сотрудников, а также осуществлять контроль за процессом сохранения информации.

Помимо обязанностей работодателя, нормативные акты включают перечень прав и обязанностей сотрудников, которые касаются необходимости предоставления достоверной информации, а также обеспечения надежного хранения данных и соблюдения конфиденциальности. 

Источник: https://advokat-malov.ru/zashhita-prav-rabotnikov/hranenie-i-ispolzovanie-personalnyh-dannyh-rabotnikov.html

Где хранятся персональные данные — SearchInform

Хранение персональных данных – актуальная тема. Законодательство России устанавливает, что руководитель компании обязан обеспечить комплексную защиту персональных данных работников. Если хранение сведений, относящихся к персональным данным, проводится ненадлежащим образом, руководство компании привлекают к административному или уголовному наказанию, согласно КоАП или УК РФ.

Поэтому гарантирование правильного хранения персональных данных, как и безопасность сведений, относящихся к коммерческой тайне, – первоочередная задача службы информационной безопасности частных компаний и государственных учреждений.

Личная информация: что это?

Понятие личных данных закреплено в ФЗ России «О персональных данных», по нормам которого под указанную категорию подпадают сведения, используемые для идентификации гражданина. К персональным данным относят:

• фамилию, имя и отчество;
• дату и место рождения человека;
• сведения о зарплате, банковские счета;
• информацию о состоянии здоровья.

По нормам трудового законодательства РФ, персональные данные подразумевают сведения о сотруднике, получаемые руководителем в процессе трудовых отношений. Это паспорт, трудовая книжка, идентификационный номер, военный билет, справка о прохождении медкомиссии.

Таким образом с момента оформления на работу гражданин передает служащим компании доступ к персональным данным. Работникам отдела кадров компании запрещено распространение персональных данных без согласования с работником или другого, установленного законодательно основания.

Как хранить личные сведения: общие требования

Условия хранения и использования персональных данных установлены законодателем. Несоблюдение требований закона сотрудниками отдела кадров влечет нарушение права граждан на конфиденциальность их личных данных, закрепленного в Конституции РФ.

В соответствии с нормами статьи 87 Трудового кодекса России, порядок хранения и обработки персональных данных сотрудников компании разрабатывается и утверждается руководителем.

Та же статья Трудового кодекса регламентирует, что внутренний порядок хранения и использования личных данных сотрудников разрабатывается с учетом законодательных норм.

Сроки хранения документации с персональной информацией сотрудников закреплены Приказом Министерства культуры № 558, принятым в 2010 году. В соответствии с нормативно-правовым актом:

• в течение 5 лет хранятся служебные и докладные записки, приказы и выписки из них, командировочные листы, а также справки, не включенные в личные дела;
• 75 лет – расчетные ведомости и листы о начислении и выдаче заработной платы, премий, пособий и материальной помощи, а также доверенности на получение денег или материальных ценностей;
• на протяжении 3 лет должны храниться заявления о приеме на работу или увольнении, анкеты и автобиографии, рекомендательные письма, документация, касающаяся перевода работника на другую должность или новое место службы.

Для обеспечения безопасности хранения и обработки персональных данных разрабатывается специальный акт, именуемый «Соглашением о неразглашении конфиденциальных данных», который подписывают должностные лица, получившие доступ к персональным данным работников компании: как рядовые сотрудники отдела кадров и бухгалтерии, так и руководители отделов и управлений, включая исполнительного и генерального директора компании.

Где хранить личные сведения

В зависимости от вида персональных данных, различают два носителя конфиденциальной информации:

На практике частные компании дублируют данную информацию. То есть хранение персональных данных осуществляется одновременно на бумаге и в электронной форме.

За безопасность и неразглашение персональных данных отвечают отдел кадров и бухгалтерия компании.

Бумажные носители персональных данных хранятся в сейфе, за ключ от которого отвечает главный бухгалтер компании или начальник отдела кадров.

Бумажные носители личной информации

В государственных учреждениях и частных компаниях работники отдела кадров ведут личные дела сотрудников традиционным способом (в бумажном варианте).

В этом случае на каждого сотрудника заводится папка-накопитель, в которую в хронологическом порядке подшивают информацию, относящуюся к персональным данным, в виде оригиналов и копий.

При этом закон не регламентирует единого порядка хранения данных дел в частных компаниях.

Хранение ПДн на бумажных носителях

Преимущества	Недостатки
Облегчение учета личных данных – все они хранятся в одном месте.	Увеличение объема работы – регулярная прошивка, нумерация, внесение данных в опись, сверка предоставленных копий данных с оригиналами, архивирование дел.
Четкая систематизация данных.	Необходимость в дополнительных ресурсах для хранения бумажных данных – приобретение сейфов, выделение специальных помещений для хранения дел.
Быстрый поиск по данной информации.	Обучение персонала навыкам работы с данной категорией дел.
Сложность поиска нужных данных, касающихся отдельного работника.
Увеличение риска распространения конфиденциальных данных.

Информация с персональными данными сотрудников может распределяться по разным бумажным носителям, и подшивается данная документация в отдельные тематические папки-накопители в соответствии с номенклатурой компании.

Документация, касающаяся персональных данных сотрудников, общего назначения (анкеты, автобиографии, приказы, доверенности, трудовые договоры) хранится в отдельных накопительных папках. Хранят папки с личными данными в сейфах, располагая в алфавитном порядке или согласно номеру регистрации. Хранение персональных данных таким способом требует меньше трудозатрат сотрудников кадровой службы. 

Электронные носители личной информации

Хранение персональных данных на электронных носителях предполагает использование автоматизированных баз данных и защищенных информационных систем. Обработка конфиденциальных данных на электронных носителях имеет ряд преимуществ, однако в таком способе есть и недостатки.

Хранение ПДн на электронных носителях

Преимущества	Недостатки
Снижение расходов на приобретение дополнительных ресурсов для хранения данных.	Необходимость создавать резервные копии баз данных.
Отсутствие необходимости в специальных помещениях для хранения.	Высокая стоимость оборудования и программ, обеспечивающих безопасность персональных данных, которые хранятся на электронном носителе.
Высокая скорость поиска, обработки и использования данных.	Необходимость в обучении персонала навыкам администрирования для пользования электронными данными.
Защищенность конфиденциальных данных от несанкционированного доступа.	Сотрудники, получившие доступ к данным, должны уметь работать с электронными носителями информации.
Неограниченный срок хранения данных (в отличие от бумажных носителей).
Автоматическая архивация данных.

Для защиты электронных баз данных и хранящейся на них личной информации:

• внедряют уровни доступа сотрудников к данным хранилищам;
• ограничивают свободный вход работников без специального допуска в помещения, где установлено оборудование для обработки данной информации;
• четко регламентируют хранение, обработку и учет данной информации и электронных носителей.

Рекомендации для работодателя

Чтобы не допустить нарушения конфиденциальности личной информации сотрудников и избежать привлечения к ответственности, руководителю компании следует проверить:

• получено ли согласие сотрудников на хранение и обработку данной информации;
• ознакомлены ли под подпись сотрудники с внутренними актами, регламентирующими порядок использования данной информации;
• уровень защиты личных сведений;
• соответствие внутренних актов по обработке и хранению конфиденциальной информации нормам закона.

Каждый из методов хранения личной информации имеет ряд преимуществ и недостатков. Поэтому на практике сочетают оба метода: ведут личные дела и дублируют сведения на электронных носителях.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/hranenie-personalnyh-dannyh/gde-khranyatsya-personalnye-dannye/