Хранение персональных данных

Содержание

Статья 87. Хранение и использование персональных данных работников

Статья 87. Хранение и использование персональных данных работников

1. Федеральный закон «О персональных данных» устанавливает требование, которому должно соответствовать хранение персональных данных, а именно: хранение необходимо осуществлять в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении (ст. 5).

В случае если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке (ст. 6 Федерального закона «О персональных данных»).

2. В Квалификационном справочнике должностей руководителей, специалистов и других служащих, утвержденном постановлением Минтруда России от 21 августа 1998 г. N 37*(116), в разделе «Должностные обязанности» квалификационных характеристик ряда должностей руководителей и специалистов, предусмотрено выполнение трудовых обязанностей на основе персональных данных работников или с их использованием.

К этим должностям относятся:

— главный специалист по защите информации (руководит выполнением работ по комплексной защите информации; участвует в работе по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации; выполняет весь комплекс работ, связанных с контролем и защитой информации; обеспечивает контроль за соблюдением действующего законодательства при решении вопросов, касающихся защиты информации; координирует деятельность подразделений и специалистов по защите информации в организации);

— заместитель директора по управлению персоналом (организует управление формированием, использованием и развитием персонала организации; возглавляет работу по формированию кадровой политики, определению ее основных направлений; организует разработку и реализацию комплекса планов и программ по работе с персоналом с целью привлечения и закрепления на предприятии работников требуемых специальностей и квалификации; проводит работу по формированию и подготовке резерва кадров для выдвижения на руководящие должности и т.д.);

— менеджер по персоналу (определяет потребность в персонале, изучает рынок труда с целью определения возможных источников обеспечения необходимыми кадрами; осуществляет подбор кадров, проводит собеседования с нанимающимися на работу, в том числе с выпускниками учебных заведений, с целью комплектования штата работников; организует обучение персонала, координирует работу по повышению квалификации сотрудников и развитию их деловой карьеры; организует проведение оценки результатов трудовой деятельности работников, аттестаций, конкурсов на замещение вакантных должностей; совместно с руководителями структурных подразделений участвует в принятии решений по вопросам найма, перевода, продвижения по службе, понижения в должности, наложения административных взысканий, а также увольнения работников; разрабатывает систему оценки деловых и личностных качеств работников, мотивации их должностного роста; принимает участие в разрешении трудовых споров и конфликтов; составляет и оформляет трудовые договоры; ведет личные дела работников и другую кадровую документацию);

— начальник отдела кадров (возглавляет работу по комплектованию организации кадрами рабочих и служащих требуемых профессий, специальностей и квалификации в соответствии с целями, стратегией и профилем организации, формированию и ведению банка данных о количественном и качественном составе кадров, их развитии и движении; принимает участие в разработке кадровой политики и кадровой стратегии предприятия; осуществляет работу по подбору, отбору и расстановке кадров на основе оценки их квалификации, личных и деловых качеств; осуществляет планомерную работу по созданию резерва для выдвижения работников; организует проведение аттестации работников, ее информационное обеспечение, принимает участие в анализе результатов аттестации; осуществляет хранение и заполнение трудовых книжек и ведение установленной документации по кадрам; проводит работу по созданию банка данных о персонале предприятия, его своевременному пополнению, оперативному предоставлению необходимой информации пользователям и т.д.), а также главный бухгалтер, начальник отдела по подготовке кадров и др.

Среди должностей специалистов назовем бухгалтера, документоведа, инженера по защите информации, инженера по подготовке кадров, инженера по кадрам, инспектора по кадрам, специалиста по защите информации, специалиста по кадрам, техника по защите информации, экономиста по труду и др.

Должностные обязанности ряда технических исполнителей фактически предусматривают (в определенных случаях) работу с персональными данными работников. Например, в должностных обязанностях секретаря руководителя предусмотрено принимать документы и личные заявления на подпись руководителя предприятия.

Включение функций, связанных с персональными данными, в должностные обязанности работников определяет соответствующее право работодателя, разрабатывая на их основе должностные инструкции, локальные нормативные акты (правила внутреннего трудового распорядка, коллективный договор, положение о персонале и др.), а также трудовые договоры, предусмотреть положения о порядке защиты персональных данных работников организации. В частности, он устанавливает круг лиц, имеющих право на получение персональных данных работников, основания их получения, условия, обеспечивающие сохранность передаваемых данных, сроки пользования этой информацией.

3. На работодателя возлагается обязанность обеспечить хранение первичной учетной документации по учету труда и его оплаты в организации, к которой относятся документы по учету кадров, документы по учету использования рабочего времени и расчетов с персоналом по оплате труда. Унифицированные формы первичной учетной документации по учету труда и его оплаты утверждены постановлением Госкомстата России от 5 января 2004 г. N 1 (см. п. 8 комментария ст. 85).

4. Трудовые книжки и дубликаты трудовых книжек, не полученные работниками при увольнении, в случае смерти работника — его ближайшими родственниками, хранятся до востребования у работодателя (п. 43 Правил ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей). Согласно Перечню типовых документов, образующихся в деятельности госкомитетов, министерств, ведомств и других учреждений, организаций, предприятий, с указанием сроков хранения, утвержденному Главархивом СССР 15 августа 1988 г., не востребованные трудовые книжки хранятся не менее 50 лет*(117).

5. В распоряжении Правительства РФ от 21 марта 1994 г. N 358-р «Об обеспечении сохранности документов по личному составу»*(118) учредителям вновь образующихся коммерческих и некоммерческих организаций рекомендовано включать в свои учредительные документы правила учета и сохранности документов по личному составу, а также своевременной передачи их на государственное хранение при реорганизации или ликвидации юридического лица.

6. Статьей 8 Федерального закона «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» установлено, что срок хранения органами Пенсионного фонда РФ сведений, составляющих содержание общей части индивидуального лицевого счета застрахованного лица, представленных в виде документов в письменной форме, а также документов в электронной форме, юридическая сила которых подтверждена электронной цифровой подписью в соответствии с законодательством РФ, содержащих сведения о страховых взносах и страховом стаже и представляемых в Пенсионный фонд РФ работодателями для целей индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования, составляет не менее шести лет.

Срок хранения в вышеуказанных формах документов, содержащих иные сведения, составляет не менее трех лет. Уничтожение документов индивидуального (персонифицированного) учета, содержащих сведения о страховых взносах и страховом стаже, по истечении установленного срока их хранения производится после ознакомления застрахованного лица (работника) со сведениями, содержащимися в его индивидуальном лицевом счете за соответствующий период, и вручения ему указанных сведений.

7. Порядок хранения персональных данных, личных дел гражданских служащих установлен Федеральным законом «О системе государственной службы Российской Федерации», Федеральным законом «О государственной гражданской службе Российской Федерации» и Указом Президента РФ «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела».

8. Трудовым кодексом также установлено, что второй экземпляр акта о несчастном случае на производстве, акта о расследовании группового несчастного случая на производстве, тяжелого несчастного случая на производстве, несчастного случая на производстве со смертельным исходом вместе с копиями материалов расследования хранится в течение 45 лет работодателем (его представителем), у которого произошел данный несчастный случай (ч. 6 ст. 230, ч. 2 ст. 230.1).

Акт о случае профессионального заболевания вместе с материалами расследования хранится в течение 75 лет в центре государственного санитарно-эпидемиологического надзора и в организации, где проводилось расследование этого случая профессионального заболевания. Если организация ликвидируется, акт передают для хранения в центр государственного санитарно-эпидемиологического надзора (п. 33 Положения о расследовании и учете профессиональных заболеваний, утвержденного постановлением Правительства РФ от 15 декабря 2000 г. N 967*(119)).

9. Наличие трудовых отношений требует от работодателя (организации, индивидуального предпринимателя) обеспечения сохранности персональных данных работника, предоставляемых им как при заключении трудового договора, так и в процессе трудовой деятельности. Это определяет необходимость разработки и принятия локального нормативного акта. Работодатель принимает такой акт без учета мнения представительного органа работников.

Локальный нормативный акт, посвященный защите персональных данных работников в организации, разрабатывается работодателем на основе положений законодательства с учетом специфики деятельности организации.

В локальном нормативном акте о защите персональных данных работников организации закрепляются положения:

— о персональных данных работников, необходимых работодателю в связи с трудовыми отношениями;

— о круге должностных лиц, имеющих право получить у работника информацию, относящуюся к его персональным данным;

— о хранении персональных данных на бумажных и электронных носителях в предназначенном для этого помещении;

— об основных условиях проведения обработки персональных данных работников;

— о круге должностных лиц, имеющих право на доступ к персональным данным, которые необходимы им для выполнения своих должностных обязанностей, порядок их предоставления;

— о должностном лице, ответственном за организацию и хранение персональных данных работников;

— о должностном лице, осуществляющем контроль за хранением персональных данных работников;

— о передаче персональных данных работников;

— о правах работника, обеспечивающих защиту персональных данных, хранящихся у работодателя;

— об обязанностях работника в целях обеспечения достоверности его персональных данных;

— об ответственности за нарушение норм, регулирующих обработку и защиту персональных данных работников, и др.

Какие оптимальные сроки хранения и обработки персональных данных? Сколько действует согласие субъекта?

Временные рамки, связанные с ПДн

Положение 7 статьи 5 Федерального закона «О персональных данных» предусматривает среди принципов обработки и следующий – хранение ПДн должно осуществлять не дольше, чем того требуют цели операции с информацией.

Кроме этого, период хранения ПДн в некоторых случаях закрепляется федеральным законом, договором, субъектом которого является владелец персональных данных. Оператор устанавливает конкретные временные рамки или вписывает условие для прекращения обработки.

Статья 14 закона «О персональных данных» правительства РФ сообщает, что сроки обработки ПДн относятся к категории информации, которую оператор в обязательном порядке предоставляет субъекту при соответствующем запросе последнего.

Что выбрать: время хранения или условия прекращения?

Закон позволяет выбрать либо конкретный период хранения данных, либо ограничить обработку наступлением определенного условия. Однако на оператора налагаются обязанности обязательно ограничить обработку данных по времени.

Юристы советуют использовать конкретный период прекращения обработки только в том случае – если сведения необходимы оператору для ограниченной цели.

Например, на сайте интернет-магазина проводится анкетирование, субъекту ПДн предлагается указать область проживания, покупки за последний год, возраст, ФИО и так далее. Магазин планирует использовать сведения для статистического анализа своей успешности за последний год. После завершения анализа, сведения ему больше не понадобятся и будут ликвидированы.

При составлении такого договора учитывается то, что на проведение анализа понадобится шесть месяцев. После этого интернет-магазин прекращает обработку данных, выполнив цель, с которой они были собраны. Для похожих прецедентов есть и другой вариант – установить условие завершения обработки, например, указать, что после проведения аналитических работ сведения прекратят обрабатывать.

Комбинированный вариант «условие + дата» используется довольно часто. Возьмем адвокатскую контору, планирующую хранить сведения о клиентах два года с момента последнего обращения. Тут присутствует сразу два критерия – два года (конкретный период) и определенное условие – отсутствие обращения в адвокатскую организацию.

Медицинские учреждения в нашем государстве, как правило, не ограничивают себя четкими сроками, поскольку законодательство обязывает их хранить сведения, касающиеся сферы здравоохранения, довольно долго. Закон дает возможность операторам выбирать, как именно устанавливать период – определяя временной отрезок обработки или событие, наступление которого будет означать прекращение обработки конфиденциальных сведений.

Оговариваемые периоды

Сколько действует согласие работника, клиента, пациента?

Независимо от сферы деятельности оператора, он обязан взять у субъекта персональных данных разрешение и указать период его действия.

Согласно положению 8 статьи 9 Федерального закона, принятого 27 июля 2006 года, «О персональных данных», согласие на обработку работника, пациента или клиента в обязательном порядке должно включать в себя срок действия и способ отзыва разрешения.

Оператору предоставляется также два способа обозначить период действия разрешения субъекта – вписав четкую дату или воспользовавшись стандартной в юридической практике фразой: «Настоящее согласие действует с момента подписания и до дня отзыва». Желательно продумать и способ подачи отзыва, например, только в письменной форме.

Сколько должны храниться ПДн?

Подразумевается, что хранение оператор организует на период, необходимый для обработки ПДн.

Также важно, что в некоторых случаях фирма не работает со сведениями постоянно, и хранение сопряжено с задачей обеспечить доступ к персональным материалам в любое удобное время и в форме, делающей возможной их обработку.

В документации оператор обозначает сроки хранения, а также операцию, которая будет проведена после выполнения цели – обезличивание информации либо ее уничтожение. Отметим, что под обезличиванием сведений подразумевается перевод материалов в форму, не позволяющую распознать к кому она точно относится.

Какой период отводится на обработку?

Обработка данных непосредственно связана с хранением ПДн, ведь именно хранение обеспечивает доступ к данным с целью их обработки. В законе «О персональных данных» сказано, что оператор должен установить единый период для обеих операций. Если обработка прекращается с наступлением некоторого события, то оператор берет на себя обязанности в дальнейшем не хранить сведения.

Оператор не может указывать разные сроки или условия для прекращения хранения и обработки. Если хранение, например, прекращается после двух лет, то и обработка не может больше проводиться – по техническим причинам. Точно так же и период обработки связан с хранением.

Предположим, предприятие взяло на себя обязанности обрабатывать сведения на протяжении одного года, если после наступления этого срока он продолжит хранить информацию – значит нарушит условия соглашения с физическим лицом.

Хранение является операцией, входящей в понятие «обработка» и, более того, делает ее возможной и комфортной.

Возможно ли продление действия соглашения?

Оператор имеет право продлевать любой из периодов, указанных выше, но для этого компании следует выполнить несколько требований. Условия и нюансы продления срока прописываются в «Политике в отношении обработки персональных данных». Субъект ПДн, согласно действующему законодательству, имеет право в любой момент ознакомиться с этим документом.

Еще одна особенность заключается в том, что продление периода обработки или хранения сопряжено с появлением иных целей, но не выходящих за рамки закона.

Другими словами, оператору разрешается менять сроки, имея на то основания и продолжая использовать конфиденциальную информацию только в рамках актуальных законодательных актов.

Компания, собирающая персональные данные, вправе выбрать как автоматическое продление, например, данного субъектом разрешения, так и ручное (с дополнительным уведомлением). При этом, физическое лицо, владеющее информацией, не лишается возможности в любой момент отозвать согласие.

Как видите, профильный закон в Российской Федерации устанавливает четкие требования относительно указания периодов и дат хранения и обработки ПДн. Вместе с тем, на операторов налагается обязанность уведомить субъекта о времени действия его собственного соглашения на обработку информации.

Сама продолжительность хранения – законом не регламентируется, к ней предъявляется только одно требование: хранить не дольше, чем требуется для достижения целей обработки.

Хранение персональных данных: закон 2020, нюансы, рекомендации

Из этого материала вы узнаете:

  • Что такое персональные данные
  • Что указано в законе о хранении персональных данных
  • Каковы плюсы и минусы хранения персональных данных в электронном виде
  • В чём особенности хранения персональных данных работников в организации в электронном и бумажном носителе в 2020 году

Хранение персональных данных — задача не сложная, однако требующая от исполнителя четкого соблюдения всех правил и норм. К тому же, если их нарушить, можно получить крупный штраф. Законодательство РФ регулирует отношения в области хранения и обработки личных данных человека. Следовать данным нормам и правилам важно, вдобавок необходимо постоянно актуализировать эту информацию. Законы часто подвергаются изменениям, а также в них регулярно вносятся поправки. Из нашей статьи вы сможете узнать всю необходимую информацию относительно хранения и обработки личных данных человека.

Что такое персональные данные

Персональные данные, они же личные данные (далее по тексту ПД и ЛД), — информация, которая непосредственно связана с конкретным человеком.

Нашу жизнь уже невозможно представить без автоматизированных систем управления. Данные физических лиц постоянно попадают в различные базы и часто из них плавно утекают.

Чтобы защитить данную информацию физического лица, был создан федеральный закон, регулирующий порядок хранения и использования персональных данных.

Такое понятие, как персональные данные, — прежде всего юридический термин, нежели технический.

Как следствие, стала проще процедура защиты и снизились риски проникновения в личные данные сторонних лиц.

На сегодняшний день обработкой данных физлиц занимаются:

  • Банки.
  • Работодатели.
  • Органы государственной власти.
  • Другие организации, работа которых налагает обязанности по сбору и хранению персональных данных человека.

Работа с данной информацией обязательно должна быть организована с учетом всех норм и правил независимо от задач, требующих использования данной информации.

Среднестатистический человек чаще всего предоставляет свои личные данные для обработки в банковские учреждения. И в случае если становятся очевидны нарушения его прав, выход из положения — только судебные разбирательства. Одно неверное действие может привести к фатальным последствиям.

Рекомендуем

«Аутсорсинг персонала: виды, плюсы и минусы»

Желательно перед посещением учреждений, требующих предоставления личной информации — изучить нормативные акты, регулирующие обработку личных данных. Это даст вам возможность самостоятельно проконтролировать свои права в полном объеме.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» в ст. 3 дает определение персональным данным. Исходя из него ПД — любая информация, которая прямо или косвенно относится к субъекту ПД — определенному или определяемому физлицу (дальше по тексту — закон о персональных данных).

К общим личным данным относятся такие сведения, как:

  • ФИО;
  • место и дата рождения;
  • адрес места жительства (регистрации);
  • профессия, уровень образования;
  • фото человека (видеозаписи), которые позволяют установить личность и с этим умыслом использоваться оператором (разъяснения Роскомнадзора от 30.08.2013 года «О вопросах отнесения фотографий, видеозаписей, дактилоскопических данных и других сведений к биометрическим личным данным и особенностей их обработки»);
  • наличие детей, семейное положение, ближайшие родственники;
  • предыдущие места работы, армейская служба, работа на выборных должностях, государственная служба, наличие судимости и другие факты из биографии;
  • информация об уровне заработной платы тоже относится к личным данным (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • оценка личностных качеств человека, его навыки в работе и др.;
  • иные сведения, идентифицирующие человека.

Помимо данной информации, в законе о персональных данных упоминаются:

  • индивидуальные личные данные (раса, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь). Обработка таких данных запрещена. Исключением могут стать ситуации, предусмотренные ч. 2 ст. 10 закона о персональных данных;
  • биометрические личные данные (к ним относятся физиологические и биологические качества человека, идентифицирующие его личность). Чтобы обработать такую информацию, нужно получить согласие носителя личных данных. Исключением могут стать случаи, предусмотренные ч. 2 ст. 11 закона о персональных данных.

Закон о хранении персональных данных

Гражданин Российской Федерации имеет полное право призвать к соблюдению ФЗ о защите личных данных любую организацию. Эти сведения являются личными, и поэтому без разрешения физического лица их обработка недопустима. Только государственным органам разрешается не получать у физических лиц письменное согласие на хранение их персональных данных. В остальных случаях нарушение карается строго по закону.

Каждый год в ФЗ о персональных данных вносятся поправки. Работа с личными данными имеет много особенностей, в связи с этим важно заранее разобраться во всех тонкостях, дабы не допустить банальных ошибок.

Рекомендуемые статьи по данной теме:

  • Хобби как бизнес: +30 идей для запуска
  • Пример предложения о сотрудничестве: просто следуйте инструкциям!
  • Ключевые факторы успеха: будем умнее, чем Буратино

Данный момент по возможности нужно будет заранее разобрать: только так можно не допустить стандартных ошибок. Процесс этот имеет множество различных нюансов, тонкостей. Несоблюдение закона для юрлиц карается штрафом в несколько сотен тысяч рублей. Штрафы также налагаются и на должностных лиц — здесь размеры выплат начинаются от нескольких тысяч рублей.

Статья 87. Хранение и использование персональных данных работников:

  1. Ст. 5 федерального закона «О персональных данных» требует осуществлять хранение личной информации о человеке в форме, позволяющей идентифицировать субъекта личных данных. А также хранить данные столько времени, сколько необходимо для их обработки. После решения всех поставленных задач, для которых собиралась данная информация, ее нужно ликвидировать.

    Согласно ст. 6 федерального закона «О персональных данных» при передаче личных данных человека для обработки другому уполномоченному на это лицу важно прописать в договоре обязательства, которые обязуют указанное лицо обеспечить конфиденциальность и полную безопасность личных данных во время всех манипуляций.

  2. В Едином квалификационном справочнике должностей руководителей, специалистов и других служащих, утвержденном постановлением Минтруда России от 21 августа 1998 г. N 37*(116), в графе должностных обязанностей некоторых руководителей, а также специалистов можно увидеть информацию о том, что осуществление их трудовых функций основано на использовании личных данных работников.

На кого распространяется действие федерального закона «О персональных данных»?

Показатели

Описание

Физические лица

Их личные данные подвергаются обработке

Юридические лица или другие субъекты права

Они осуществляют сбор, обработку и хранение данных

В каждом договоре, где указываются ФИО человека, в обязательном порядке должен присутствовать раздел об обработке личных данных. Без письменного разрешения гражданина работать лично, а также передавать данные для обработки другим лицам запрещено.

Этим правилам необходимо следовать при работе с такими видами договоров, как:

  • кредитный;
  • трудовой;
  • о возмездном оказании услуг и др.

При работе со всеми видами договоров, указанных выше, необходимо брать у человека письменное согласие на обработку его личной информации. Подобное правонарушение влечет за собой юридическую ответственность. Именно поэтому важно своевременно знакомиться со всеми изменениями законодательства, связанного со сбором, обработкой, хранением личных данных человека.

При отказе заемщика возвращать полученную сумму кредита в срок и в порядке, предусмотренном кредитным договором, банки, как правило, передают задолженность клиента коллекторским агентствам. Это явное правонарушение с их стороны.

В такой ситуации гражданин вправе обратиться в ЦБ РФ, ведь именно там осуществляется контроль над работой банков. Дальнейшие шаги заемщика ведут в суд. Если опыта в составлении исков нет (а это нелегкая задача), лучше обратиться к специалистам. К тому же цена за подобную услугу у юристов небольшая. Помимо составления иска, специалист поможет собрать весь комплект документов, необходимых для судебных разбирательств.

Здесь главное не попасть в руки авантюристам, которых в данной области предостаточно. Перед подписанием договора на оказание юридических услуг важно его тщательно изучить.

Как уже говорилось ранее, законодательство в сфере защиты личных данных часто подвергается поправкам. Так, например, 01.07.2020 вступили в силу значительные изменения — в первую очередь нужно ознакомиться с ними, а потом уже подписывать договоры с юристами. Только в этом случае можно избежать ошибок.

Важно подчеркнуть: допущение ошибок вполне может послужить причиной признания договора целиком и полностью недействительным. Исходя из этого, важно заблаговременно разобраться во всех нормативно-правовых актах в данной сфере.

Все подробности относительно личных данных человека отражены в федеральном законе «О персональных данных». Хорошая осведомленность в области нормативных актов даст возможность самостоятельно разобраться во всех нюансах, а значит, риск допущения ошибок будет минимальным.

Вот основные моменты, которые важно тщательно проработать перед заключением каких-либо договоров:

  • специфика обработки личных данных;
  • существенные ошибки;
  • новые штрафные санкции;
  • основные моменты;
  • какими нормами законодательства регулируется.

Что значит обработка персональных данных

Согласно ст. 3 закона о персональных данных обработка личных данных — совокупность действий, связанных с личными данными. Операции могут совершаться с применением средств автоматизации или без них. Любая деятельность с использованием ПД охватывает все процессы и стадии работы с ними, а это: сбор, систематизация, запись, хранение, накопление, конкретизация (изменение, обновление), извлечение, применение, делегирование (распространение, предоставление, доступ), блокирование, обезличивание, ликвидация данных.

Работодатели, согласно закону о персональных данных, обязаны соблюдать требования к хранению персональных данных. Чтобы исключить все случаи, которые могут привести к судебным разбирательствам, следует получать от каждого претендента на должность письменное согласие на обработку его данных.

Законом предусмотрены некоторые случаи, при которых письменная форма согласия обязательна к применению (часть 4 ст. 9 закона о ПД). Это относится к таким ситуациям:

1) При передаче личных данных соискателя от третьей стороны (п. 3 ст. 86 Трудового кодекса РФ). В такой ситуации работника необходимо заблаговременно предупредить об этом и взять с него письменное согласие на обработку и хранение информации (п. 3 ст. 86 Трудового кодекса РФ).

В бланке, где соискатель дает свое согласие, нужно указать (п. 3 ст. 86 Трудового кодекса РФ):

  • цель получения личных данных соискателя у третьих лиц;
  • предполагаемые ресурсы приобретения информации (лица, у которых запрашиваются данные);
  • методы получения данных, их основные особенности;
  • вероятные последствия отказа работодателя в получении личных данных соискателя у третьего лица. При отказе работника изучить уведомление о возможном получении его личных данных у другого лица разумным будет составить соответствующий акт.

Если соискатель решил отозвать согласие на обработку своих личных данных, он имеет на это полное право (часть 2 ст. 9 закона о персональных данных).

Топ-5 статей, которые будут полезны каждому руководителю:

  • 32 способа привлечения клиентов: проверенные и нестандартные
  • Оптимизация бизнес-процессов на раз-два-три: ликбез для руководителей
  • Кейсы для бизнеса: что это и как их создают
  • Методы снижения затрат в компании и на предприятии без малых жертв
  • Лучшие бизнес-идеи на 2020 год: оффлайн и онлайн

Существует и такая информация, которую работодателям запрещено требовать у третьих лиц, даже если соискатель дает согласие. Та, что не связана с перечисленными в пункте 1 статьи 86 Трудового кодекса РФ задачами.

2) При передаче личных данных соискателя третьим лицам, кроме ситуаций, когда это нужно для предотвращения угрозы жизни и здоровью работника (абзац 2 статьи 88 Трудового кодекса Российской Федерации).

3) Для обработки отдельных категорий личных данных работника, напрямую связанных с вопросами трудового характера (п. 4 ст. 86 Трудового кодекса РФ, п. 1 ч. 2 ст. 10 закона о персональных данных). К ним можно причислить информацию о расе, национальности, религии, политических взглядах, философских убеждениях, показателях здоровья, интимных отношениях.

В том случае, если работник признан недееспособным, письменное разрешение на обработку его данных дает его законный представитель (опекун, родитель) (ч. 6 ст. 9 закона о персональных данных). А в случае ухода из жизни работника такое согласие оформляют его наследники, если, конечно, оно не было подписано самим работником при его жизни (ч. 7 ст. 9 закона о персональных данных).

Не при всех обстоятельствах требуется разрешение работника на обработку его личных данных. Так, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 закона о персональных данных, абзац 1 разъяснений Роскомнадзора):

  • из документов (материалов), предоставляемых работником при оформлении трудового договора;
  • по результатам обязательного предварительного медосмотра состояния здоровья (ст. 69 Трудового кодекса РФ, п. 3 разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, которые касаются обработки личных данных работников, соискателей на замещение вакантных должностей, а также лиц, состоящих в кадровом резерве», далее — разъяснения Роскомнадзора от 14.12.2012);
  • в количестве, установленном специальной формой № Т-2, включая личные данные близких родственников, и в других случаях, предусмотренных законодательством РФ (взыскание алиментов, получение доступа к гостайне, оформление соцвыплат) (пункт 2 разъяснений Роскомнадзора от 14.12.2012);
  • от рекрутингового агентства, работающего от имени соискателя (абзац 12 п. 5 разъяснений Роскомнадзора от 14.12.2012);
  • от лица самого человека, который выложил свою анкету в Интернете во время поиска работы, сделав ее доступной всем (пункт 10 часть 1 статьи 6 федерального закона от 27.07.2006 № 152-ФЗ, абзац 12 пункт 5 разъяснений Роскомнадзора от 14.12.2012);

то работодатель с разрешения соискателя может передать на обработку его личные данные другому лицу (часть 3 статьи 6 закона о ПД, абзац 2 пункт 5 разъяснений Роскомнадзора от 14.12.2012). Несмотря на это, работодатель все равно остается ответственным перед соискателем за действия третьего лица (часть 5 статьи 6 закона о ПД).

Плюсы и минусы хранения персональных данных в электронном виде

В электронном виде информация с личными данными хранится при помощи информационных систем и специально предназначенных для этого баз.

Плюсы хранения сведений о человеке в электронном виде:

  • не нужны дополнительные ресурсы;
  • не расходуется место и пространство;
  • быстро и комфортно работать с личными данными;
  • высокая защищенность от несанкционированного проникновения;
  • можно хранить сколько угодно времени;
  • нет необходимости в архивации.

Минусы хранения данных на электронном носителе:

  • нужно создавать резервные копии баз данных работников;
  • немалая стоимость программ и оборудования;
  • требуется управление информационными системами;
  • необходима высочайшая квалификация сотрудника, который будет работать с личными данными.

Чтобы обезопасить личные данные, хранящиеся в электронном виде, можно применять такие способы, как:

  • внедрение разрешительной системы доступа сотрудников к закрытой информации;
  • запрещение доступа сотрудников в помещения, где расположены технические средства, применяемые для обработки личных данных;
  • отлаженная система организации хранения и учета информационных носителей и т. д.

Хранение персональных данных работников в организации на электронном и бумажном носителе в 2020 году

Каждое устройство на работу подразумевает под собой передачу и хранение персональных данных работника работодателю. На первом этапе оформления трудовых отношений передаются такие данные, как фамилия, имя, отчество, дата рождения, адрес постоянного места жительства, гражданство, наличие семьи и детей, образование и т. д.

Если сотрудник продолжает работу на том же предприятии, его личное дело пополняется разнообразными документами: приказами о трудоустройстве, трудовым соглашением, первоначальными документами по зарплате, актами о премировании и другими. Где и каким образом предприятие хранит личные данные сотрудников?

1. Где разрешается хранить?

Места хранения персональных данных работника находятся в прямой зависимости от их формы. Существует 2 варианта хранения данных человека:

  • в бумажном виде;
  • в электронном виде.

Когда мы имеем дело с ответственным работодателем, то у него обычно дублируется информация. Данные хранятся в бумажном виде и в электронном. В обоих случаях данные обычно находятся у работодателя в кадровом отделе или же в бухгалтерии. Они закрываются ключом в пожароустойчивых сейфах. Ключ хранится у начальника кадрового отдела или главного бухгалтера.

Данные по сотрудникам, которые уже не работают на предприятии, чаще всего передаются в архив. Это отдельная комната для хранения информации. Там документы располагаются в алфавитном порядке, с указанием даты помещения в архив и даты окончания хранения. По истечении указанного времени данные подлежат уничтожению.

«Персонализированный поиск: что такое и для чего он нужен»

Сведения, находящиеся в электронном виде, хранят в локальной компьютерной сети.

Важно: данный формат электронных документов нуждается в обеспечении надежной системой безопасности в виде паролей, доступ к которым должен быть у ответственных сотрудников. Чтобы не утратить всю информацию в случае сбоя или потери главной базы, формируют резервную копию для архива. Ее располагают на съемном электронном носителе информации.

2. Общие правила

Следовать правилам хранения персональных данных крайне важно, иначе халатное отношение к делу со стороны руководства может повлечь за собой нарушение конституционного права человека на конфиденциальность личных данных. Статья 87 Трудового кодекса РФ гласит, что порядок хранения персональных данных сотрудника должен быть подготовлен и утвержден самим работодателем.

Причем он должен учесть все требования, которые отражены в Трудовом кодексе и иных федеральных законах. В приказе Минкультуры от 25 августа 2010 года № 558 указаны основные сроки хранения сведений о работниках, которые образуются в процессе деятельности предприятия.

Рассмотрим сроки более подробно:

  • Докладные и служебные записки, справки, приказы и их копии, а также выписки из приказов, заявления, которые не вошли в личные дела, хранятся в течение 5 лет.
  • Расчетно-платежные ведомости, расчетные листки по зарплате, а также информация о предоставленных пособиях, гонорарах, материальной помощи сотрудникам хранятся 5 лет, а если в документах отсутствуют лицевые счета — 75 лет.
  • Доверенности на получение денег и ТМЦ, в том числе расторгнутые доверенности на получение зарплаты и иных выплат. Данный вид сведений хранится в течение 5 лет.
  • Личные листки по учету кадров, анкеты для приема на работу, заявления, автобиографии, письма-рекомендации соискателей, которых не трудоустроили в организацию, хранят 3 года.
  • Письма о переводах сотрудников. Данный вид информации хранится 3 года.
  • Удостоверения для командировок хранят 5 лет.

3. Подробное руководство по применению задокументированной информации

  • Организовывать правильный подход к работе с личными данными человека, а также их хранение в бумажном формате необходимо на основании законов РФ: ст. 24 Конституции, гл. 14 Трудового кодекса РФ, ФЗ РФ от 27 июля 2006 года № 152 «О персональных данных», приказе Минкультуры РФ от 2010 года № 558, статьи 137 Уголовного кодекса РФ и др.
  • Для отделения личных данных от другой информации рекомендуется составлять подробный список-памятку сведений, которые можно отнести к личным данным.
  • Во время работы с личными данными сотрудников важно соблюдать следующие правила:
  • Использовать информацию следует только в целях обеспечения трудовых отношений с учетом требований действующего трудового законодательства.
  • Все сведения нужно запрашивать именно у их носителя.
  • В ситуации, когда запрос документов все-таки нужно осуществить из иных источников, крайне важно получить письменное разрешение сотрудника на обработку.
  • Работодателю запрещено запрашивать данные об интимной жизни своих сотрудников, их религии, участии в политических партиях, профсоюзах без разрешения работника, если иное не предусмотрено законодательством.
  • Не разрешается передавать эти сведения третьим лицам. Работникам выдается исключительно та информация, которая нужна, чтобы выполнить порученное им задание.
  • Некоторые документы хранятся в оригинальном виде: трудовой договор, трудовая книжка, допсоглашения, разнообразные приказы руководства сотруднику и др. Еще часть документов сотрудник предоставляет только для изучения или снятия копии. К ним относятся свидетельства о рождении детей, свидетельство о заключении брака, документ, удостоверяющий личность, и др.
  • Документы отдела кадров, связанные с личным делом, складываются в отдельную папку сотрудника. Папки распределяются по подразделениям компании и складываются в алфавитном порядке. Документы отдела бухгалтерии можно обрабатывать и хранить без привязки к сотруднику. Организовывать хранение такого рода документов необходимо согласно функциональным назначениям. К примеру:
  • расчетные листки по зарплате складываются в папку для расчетов оплаты труда;
  • командировочные документы — в папке для оплаты дополнительных мероприятий.
  • Папки со всеми документами помещают в сейф, доступ к которому должен быть предоставлен исключительно руководству организации, начальнику кадрового отдела, главному бухгалтеру.
  • Отдел кадров несет ответственность за инструктаж касательно порядка применения, обращения и хранения данных. Точно так же решается вопрос относительно хранения разрешения на обработку данных работника.

4. Хранение информации на электронных носителях

  • Любые действия, относящиеся к обработке и хранению личной информации сотрудника на электронном носителе, должны формироваться на указаниях актов законодательства, перечисленных выше.
  • По аналогии с бумажными носителями для электронных необходимо обозначать сведения, которые относятся к личным данным. Сюда относится такая информация, как личный адрес электронной почты работника, аккаунт (учетная запись, профиль) в соцсетях и т. д.
  • Все принятые документы, которые содержат личную информацию сотрудника, сканируются и отправляются в его электронное личное дело.
  • Допуск к базе данных в электронном формате должен быть предоставлен только руководителям организации, их заместителям, сотрудникам кадрового отдела и бухгалтерии, а также программистам.
  • Тем, кому разрешен доступ к электронной базе, предоставляется личный логин и пароль. В этом случае программа сможет автоматически запомнить сотрудника, вносившего какие-либо изменения в личные данные.
  • Обязательно нужно создавать, хранить и обновлять резервную копию базы данных на съемном носителе. Освежать эту информацию следует 1 и 15 числа каждого месяца. В случае если указанные даты выпадают на праздничный или выходной день, все манипуляции переносятся на следующий рабочий.

Личные данные человека часто подвергаются мошенническим действиям. По этой причине законодательно установлены основные правила защиты данной информации. Помимо этого, закон подробно описывает ответственность за нарушения в сфере обработки и хранения ПД. Вместе с тем важно отметить, что законы РФ в данном направлении еще сыроваты. Связано это с тем, что основная часть правил устанавливается на уровне локальных нормативных актов.

Система защиты при хранении персональных данных

Каким образом уберечь личные сведения человека? Федеральным законом № 152 установлены определенные меры по организации защиты личных данных человека:

  • меры, установленные законом, — государство обязует уполномоченного сотрудника, занимающегося обработкой информации, производить определенные манипуляции, одновременно запрещая некоторые из них;
  • технические — уполномоченный сотрудник предпринимает ряд мер, которые значительно усложняют проникновение иных лиц к личным данным о человеке.

Есть много методов хранения персональных данных о сотрудниках. К ним относятся замена цифровых данных, сокращение информации, распределение ее на хранение в нескольких местах.

Срок хранения персональных данных

Положение о хранении персональных данных устанавливает среди всех видов обработки персональных данных следующий порядок — ПД не должны храниться больше времени, чем потребуется для операции с информацией.

Вместе с тем период хранения данной информации в некоторых случаях закрепляется ФЗ России с помощью договора с субъектом, владеющим персональными данными. Оператор устанавливает конкретные временные рамки или вписывает условие для прекращения хранения и переработки персональных данных.

«Делегирование полномочий без досадных ошибок»

Закон «О персональных данных» правительства РФ (ст. 14) сообщает о временных сроках обработки ПД, относящихся к тем видам сведений, которые оператор в обязательном порядке предоставляет субъекту при соответствующем запросе последнего.

Штрафы за нарушение хранения персональных данных

Существует три типа ответственности, предусмотренной законодательством РФ:

  • гражданско-правовая закрепляется в соглашении или договоре, которые человек заключает с оператором персональных данных, и носит главным образом денежный характер;
  • административная ответственность устанавливается Кодексом об административных правонарушениях Российской Федерации и сопровождается предупреждением, штрафными санкциями;
  • уголовная ответственность возникает при тяжких нарушениях законодательства. Чаще всего к виновнику предъявляются или штрафные санкции, или уголовная статья, предусматривающая ограничение свободы.

Штрафы, предусмотренные за несоблюдение законодательства о персональных данных:

Показатели

Описание

По Кодексу об административных правонарушениях РФ

  • для граждан — в размере до 500 рублей;
  • для должностных лиц — от 500 до 1 тыс. рублей;
  • для юридических лиц — до 30 тыс. рублей.

Согласно ст. № 137 Уголовного кодекса РФ

  • в размере 200 тыс. рублей либо доход за период длительностью 18 месяцев — для физических лиц;
  • принудительные работы;
  • арест.

Хранение персональных данных

Еще совсем недавно вопрос о безопасном хранении персональной информации работников не привлекал столько внимания, как сейчас.

Российское законодательство требует от работодателей разработки комплекса мер по защите данных сотрудников. За несоблюдение этих требований руководителям предприятий грозит наказание в виде штрафов, приостановления лицензии, и даже ареста.

Вот почему многие организации всерьез занялись обеспечением информационной безопасности, защищая конфиденциальные сведения о своей деятельности, в том числе базы данных персонала.

Что такое

В Федеральном законе РФ “О персональных данных” отмечено, что любая информация, касающаяся прямо или косвенно определенного физического лица относится к персональным данным.

Это различные сведения о человеке: от ФИО, даты и места рождения до информации о доходах, здоровье и т.д.

Если обратиться к Трудовому кодексу РФ, то можно увидеть, что персональными данными считается информация, относящаяся к работнику и используемая работодателем в связи с трудовыми отношениями.

При поступлении на работу каждый сотрудник предоставляет организации (оператору) паспорт, военный билет, пенсионное свидетельство, ИНН и другие документы.

Поэтому, каждый работодатель, заключая с работником трудовой договор, становится обладателем сведений, относящихся к персональным данным.
И совершая любые действия с этими данными (например, сбор, запись, систематизацию, накопление, хранение и другие), предприятие осуществляет их обработку.

Персональные данные, с которыми приходится работать сотрудникам кадровой службы, носят конфиденциальный характер. Это означает, что лица, имеющие доступ к личной информации работников, без их разрешения или другого законного основания, не имеют права ее распространять.

Правила хранения персональных данных

ТК РФ обязывает каждого работодателя разрабатывать правила использования и хранения данных о персонале на своем предприятии, учитывая требования федеральных законов.

Принятые соответствующие нормы и правила, могут содержаться в локальном акте фирмы о персональных данных. Чаще всего, таким документом становится Положение о защите персональных данных работников, но не запрещается включать данный раздел в Правила внутреннего распорядка.

Каждого сотрудника необходимо ознакомить с данным нормативным актом, поскольку ТК РФ прямо указывает на права работников участвовать в разработке мероприятий по обеспечению безопасности персональных данных.

Для сохранения конфиденциальности персональных данных составляется список должностных лиц, имеющих к ним доступ, и разрабатывается форма документа, к примеру, «Соглашение о неразглашении», которое подписывают не только рядовые работники-исполнители (специалист по кадровой работе, бухгалтеры и др.), но и руководители подразделений, генеральный директор предприятия.

Физическое хранение персональных данных

Многие специалисты отдела кадров ведут личные дела работников традиционным способом и не желают от него отказываться.

Особенности этого заключаются в том, что вся информация о каждом работнике, представленная оригиналами и копиями документов накапливается в специально оформленной папке. При этом единых правил оформления личных дел в коммерческих организациях не существует.

Преимущества ведения личных дел:

  • все данные о сотруднике находятся в одном месте;
  • возможность четкой систематизации;
  • быстрый поиск информации о конкретном человеке.

Недостатки хранения персональной информации с комплектованием личных дел:

  • высокая трудоемкость (требуется регламент, подшивка документов, опись, сверка, архивирование);
  • требуются дополнительные ресурсы (сейфы, отдельные помещения и т.д.);
  • необходимы навыки работы с личными делами.

Часто персональная информация о работниках хранится на бумажных носителях, расположенных в разных тематических папках в соответствии с номенклатурой организации.

Возможность проверить отчет ПФР предоставляемый в 2014 г. по новой форме расчета для начисленных и уплаченных взносов обязательного пенсионного страхования в ПФР, и страховым взносам в Фонд обязательного мед. страхования, имеется в программе CheckXML.

Отчетности в ПФР бояться не стоит, несмотря на большое количество кодов и регистрационных номеров, которые необходимо отразить в документах. О том, как правильно подготовить отчет в ПФР читайте .

Все документы, касающиеся работников, одного назначения: трудовые договоры, документы анкетно-биографического характера, договоры материальной ответственности и т.д. размещаются в отдельные папки и выстраиваются в алфавитном порядке или по регистрационным номерам.

В сравнении с оформлением личных дел, такой способ хранения данных о работниках несет в себе меньше трудозатрат и не требует особых навыков от кадровика.

Однако раздельное хранение имеет и свои недостатки:

  • поиск информации о сотруднике занимает много времени;
  • существует более высокий риск раскрытия конфиденциальной информации.

Хранение персональных данных в электронном виде

При таком способе хранении практически вся персональная информация хранится в электронном виде с использованием базы персональных данных и информационных систем.

Преимущества хранения информации на электронных носителях:

  • нет необходимости в дополнительных ресурсах;
  • экономится место и пространство;
  • высокая скорость и удобство работы с персональными данными;
  • повышенная степень защиты от несанкционированного доступа;
  • срок хранения не ограничен сроками;
  • не нужен большой архив.

Недостатки хранения информации в электронном виде:

  • необходимо иметь резервные копии базы данных персонала;
  • программное обеспечение и специальное оборудование стоит не дешево;
  • требуется администрирование информационной системы;
  • нужна высокая грамотность сотрудника, работающего с персональными данными.

Для того, чтобы защитить персональные данные, хранящиеся в электронном виде используют следующие методы:

  • внедрение разрешительной системы допуска персонала к конфиденциальной информации;
  • ограничение доступа сотрудников в помещения, где находятся технические средства, используемые для обработки личных данных;
  • четкая организация хранения и учета информационных носителей и другие.

Обезопасить себя от потенциальных претензий со стороны финансовых структур и исключить риски в ведении предпринимательской деятельности позволит проверка контрагента на добросовестность.

Есть специальные сайты, где Вы можете проверить контрагента по налоговой просто введя номер его ИНН в специальную графу и получить результат мгновенно. О том, как провести проверку по ИНН узнайте .

У каждого из рассмотренного способа хранения персональных данных работников на предприятии свои недостатки и преимущества. Часто на практике они сочетаются: ведутся и личные дела, и электронные базы данных персонала.

В любом случае работодатель должен иметь согласие работников на обработку их персональной информации.
Так же необходимо учитывать материальные возможности для обеспечения защиты и сохранности документов, трудозатраты и квалификацию персонала кадровой службы.

В год грядущий – во всеоружии

На протяжении последних шести лет законодатель неоднократно обращал внимание на вопрос защиты персональных данных граждан России. За это время был принят закон «О персональных данных», внесены поправки в Трудовой кодекс РФ, регулирующий вопрос защиты персональных данных работника, введен ряд подзаконных нормативных актов, которыми каждый участник отношений, возникающих при передаче персональных данных, должен руководствоваться.

Повышенный интерес государства к нормативному обеспечению защиты персональных данных обусловлен большим количеством случаев мошенничества со стороны недобросовестных операторов, работающих с персональными данными и допустивших утечку этой информации и последующее ее незаконное использование преступниками.

Таким образом, в продолжение «линии защиты» в декабре 2009 года был утвержден Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации (приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 1 декабря 2009 г. № 630), который вступил в силу 26 марта 2010 года.

Принятие и введение в действие указанного выше Регламента фактически означает готовность государства перейти от нормативного регламентирования вопросов защиты персональных данных к активным «военным» действиям, а именно к проведению проверок в целях выявления нарушений требований действующего законодательства и применения мер ответственности к операторам.

Готовимся к худшему – надеемся на лучшее

Прежде чем перейти к «подготовительной» работе, необходимо определить, к какой категории относится ваша организация:

  • исключительно оператор, обрабатывающий персональные данные в целях исполнения требований трудового законодательства (то есть в процессе трудовых отношений между работником и работодателем),и/или:
  • оператор, обрабатывающий персональные данные в ходе ведения обычной коммерческой деятельности (например: операторы сотовой связи; организации, проводящие анкетирование потребителей (физических лиц) в рекламных целях и/или в целях предоставления скидок и т. п.).

Далее, с учетом правового положения вашей организации и руководствуясь действующим законодательством, необходимо принять следующие меры.

Если вы оператор – работодатель

В главе 14 Трудового кодекса прямо указывается на обязательное наличие на каждом предприятии внутреннего локального нормативного акта, регулирующего порядок использования и хранения персональных данных (ст. 87 ТК РФ).

Как правило, этим документом служит Положение о защите персональных данных работников (далее – «Положение»), но в целом допустимо включить соответствующий раздел в состав Правил внутреннего трудового распорядка.

Целью этого документа является задача определить меры защиты персональных данных работников при обработке таковых, условия их хранения, условия допуска сотрудников компании к таким данным, права и обязанности работников и работодателя по отношению к вопросу использования персональных данных каждого конкретного работника.

Безусловно, все вышеуказанные условия работы с персональными данными должны быть определены в строгом соответствии с ТК РФ, законом «О персональных данных» и требованиями подзаконных нормативных актов, перечень которых приведен выше.

Поскольку этот локальный нормативный акт является обязательным для каждого работодателя, а ТК РФ содержит прямое указание на право работников участвовать в разработке системы обеспечения гарантий, связанных с защитой персональных данных, естественно, необходимо ознакомить каждого работника, занятого на предприятии, с этим документом. Более того, в соответствии со статьей 68 ТК РФ каждый принимаемый на работу кандидат также должен быть ознакомлен с условиями обработки его персональных данных еще до заключения с ним трудового договора.

Документом, подтверждающим ознакомление работников с Положением, может быть либо отдельная расписка работника, форма которой должна быть указана как неотъемлемая часть Положения, либо можно использовать иные способы ознакомления работников с локальными нормативными актами (далее – «ЛНА») организации, которые применяются у конкретного работодателя (например: журнал ознакомления с ЛНА, лист ознакомления с ЛНА и т. п.).

Также в Положении необходимо определить перечень должностных лиц организации, имеющих доступ к персональным данным работников (разумеется, в целях исполнения своих должностных обязанностей) и предусмотреть форму документа, (например, «Соглашения о не разглашении»), которую каждый из таких должностных лиц должен будет подписать в подтверждение понимания своей ответственности в случае разглашения рассматриваемой информации. При составлении перечня лиц, допущенных к информации такого характера, надо указать не только рядовых работников – исполнителей (таких как менеджер по персоналу, сотрудники бухгалтерии, юристы), но и вписать руководителей подразделений вашей компании, включая генерального директора предприятия.

В качестве дополнительной рекомендации, в целях исполнения требований ТК РФ в части использования персональных данных работников в коммерческих целях, которые не допускают такое использование без согласия работника, можно включить перечень случаев использования и объем используемой информации в Положении (например: в целях предоставления информации для участия в торгах, подготовки коммерческого предложения, рекламы компании на сайте и т. д.).

Таким образом, предлагая работникам ознакомиться с ЛНА, вы заранее им сообщаете и получаете их согласие на использование их персональных данных в коммерческих целях компании.

Говоря о технической стороне организации защиты персональных данных работников, тем же законом, изданным в 2009 году, который предоставил отсрочку, были внесены изменения в закон «О персональных данных», упраздняющие обязанность операторов по защите персональных данных с обязательным использованием шифровальных (криптографических) средств (Закон от 27 декабря 2009 г. № 363-ФЗ).

Тем не менее обязанность по обеспечению безопасности персональных данных при их обработке и по защите от несанкционированного доступа третьих лиц при организации хранения персональных данных четко определена действующим законодательством. Следовательно, каждому оператору – работодателю необходимо обеспечить технические средства защиты, такие как: наличие сейфов с кодами доступа (и/или шкафов, запирающихся на замок, и/или отдельных помещений, закрывающихся на ключ или соответствующий код – для персональных данных, обрабатываемых без использования средств автоматизации). Информация о кодах или доступ к ключам должен быть только у допущенных к работе с персональными данными лиц.

В свою очередь персональные данные, которые обрабатываются в информационных системах (фактически это все базы данных, хранящиеся на серверах или в системных блоках компьютеров с использованием или без специализированных программ), также должны быть защищены с задействованием различных методов, в том числе таких, как:

  • реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
  • ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
  • учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
  • другие методы и способы, полный перечень которых определяется приказом ФСТЭК РФ от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».

В итоге для готовности каждого оператора – работодателя к возможным проверкам на соответствие требованиям законодательства в области защиты персональных данных работников в будущем году необходимо иметь рабочую систему защиты персональных данных, содержащихся как на материальных носителях без средств автоматизации, так и в информационных системах, регламентированную с соответствующим ЛНА, разработанным с учетом действующего законодательства исключительно на основании технических ресурсов вашей организации.

Если вы оператор-коммерсант

В случае если вы не только работодатель, но еще и организация, которая в силу специфики коммерческой деятельности или вида деятельности получаете и обрабатываете персональные данные физических лиц, не связанных с вами трудовыми или гражданско-правовыми отношениями, то помимо организационно-технических мер, приведенных выше, также следует:

  • разработать и утвердить локальный нормативный акт, который определит не только способы обработки и условия хранения полученных персональных данных, но и цели, для которых вам таковые необходимы; при этом отдельное внимание надо уделить уничтожению полученной информации и обезличиванию;
  • при разработке методов и способов защиты персональных данных, обрабатываемых в информационных системах, придется особенно активно поработать с классификацией информационных систем, исходя из состава персональных данных, к которым такой оператор получает доступ, основываясь на приказе ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
  • в случае если при обеспечении защиты персональных данных в информационных системах будут применяться средства защиты с использованием шифрования (криптографии), то необходимо учитывать, что на основании статьи 17 Закона «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128-ФЗ ряд видов деятельности, связанных с обеспечением конфиденциальности информации, подлежат лицензированию;
  • в статье 22 закона «О персональных данных» закреплена обязанность за каждым оператором, который выступает в качестве такового, не только в связи с трудовыми отношениями, по уведомлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора) о своем намерении осуществлять обработку персональных данных до начала их обработки. После такого уведомления в течение 30 дней оператор будет включен в реестр операторов. Однако этим же законом установлены случаи, в которых уведомление о предполагаемой обработке персональных данных не требуется.

В дополнение ко всем вышеизложенным инструкциям важно запомнить, что на каждом предприятии, как правило, существует входная система контроля доступа лиц на территорию организации. Обычно для оформления пропуска сотрудники службы охраны запрашивают документ, удостоверяющий личность визитера, а следовательно, начинают обработку персональных данных такового, внося соответствующею информацию в журнал учета посетителей. Для легализации этого процесса, исходя из приведенных выше нормативно-правовых актов, необходимо также и для таких случаев работы с персональными данными определить способы обработки, хранения и уничтожения полученной информации в соответствующем ЛНА (например: Положение о службе безопасности, Положение о контрольно-пропускном режиме и т. п.).

К нам едет ревизор!?

Возвращаясь к Административному регламенту проведения проверок Роскомнадзором, надо учесть, что проверочные мероприятия могут быть как плановые, так и внеплановые.

При этом плановые проверки будут назначаться как в отношении операторов, включенных в реестр, так и операторов, не включенных в реестр, но осуществляющих обработку персональных данных.

В свою очередь внеплановые проверки возможны в случае нарушений в области обеспечения защиты персональных данных операторами, информация о которых может быть получена проверяющим органом не только в ходе проведения плановых проверочных мероприятий, но и в случае получения соответствующей информации от третьих лиц, например, от работников предприятия, государственных органов, осуществляющих смежные контрольные функции.

Юлия Лабутина, эксперт журнала «Расчет»

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *