Top.Mail.Ru
Истории

Безопасное управление данными сотрудников: сбор и хранение персональных сведений

Истории
Владислав Афонин
Владислав Афонин

Руководитель направления поискового контента

Владислав Афонин

В законодательстве России закреплено требование о том, что работодатели обязаны обеспечивать сотрудникам своей компании защиту их данных (ст. 86 Трудового Кодекса РФ). В статье рассмотрим, что называют персональными данными работников, как эти сведения хранятся, кому передаются, кто отвечает за их защиту и уничтожение.

Безопасное управление данными сотрудников: сбор и хранение персональных сведений
  1. Истории

 

Что считается персональными данными работника?

Начать стоит с уточнения самого понятия «персональные данные» (ПД) работника, которое закреплено в одноименном законе. ПД сотрудника — это любая информация о конкретном человеке, даже если касается его лишь косвенно, но по ней все же можно этого работника идентифицировать (ФЗ-№ 152).

Не существует готового и детально прописанного списка, где был бы закреплен список такой информации о персонале компании. Однако его не сложно определить по нормативным документам и иным источникам.

Персональными считаются несколько видов сведений о работнике:

  1. Общие: ФИО, СНИЛС, дата и место рождения, образование, номер телефона, ИНН, место работы, почта, семейное положение.
  2. Специальные: религиозная вера, политические взгляды, информация о состоянии здоровья, наличии судимости. (п. 6 Требований Роскомнадзора № 18). Их можно получать лишь при оформлении согласия работника в письменном виде.
  3. Биометрические: личные фотографии, цвет и структура радужки глаз, отпечатки пальцев. Также требуют наличия согласия персонала. Хранение биометрических персональных данных обеспечивает Единая биометрическая система.
  4. Иные: сведения о заработной плате, предыдущем месте профессиональной деятельности, членстве в профсоюзе, трудовом стаже, а также любые данные из документов (трудовой договор, тесты, резюме, трудовая книжка, свидетельствах о повышении квалификации, рабочий пропуск).

Приведенный примерный список сведений, которые можно назвать персональными данными сотрудников, не считается полным и фиксированным. Каждый руководитель самостоятельно утверждает список для своих сотрудников, а также указывает цель сбора информации, способ ее обработки, хранения и последующего тщательного уничтожения (ст. 18.1 ФЗ-№ 152).

 

Кому можно передавать персональные данные?

К личной информации о персонале допущены руководитель предприятия и сотрудники отдела кадров. Такой допуск к сведениям требует должен быть оформлен приказом работодателя. В нем обязательно должны быть указаны фамилии и должности всех допущенных, а также вариант обработки полученной информации (не обязательно).

Существует правило (ст. 88 ТК РФ), согласно которому руководитель компании имеет право передавать данные сотрудников заинтересованным лицам только в случае, если:

  1. Работником оформлено письменное согласие. Без соответствующего документа передача ПД даже в коммерческих целях запрещена.
  2. Это предусмотрено законодательно. Некоторые федеральные законы и правила в ТК РФ предусматривают, что можно передавать данные без письменного согласия. Например, по требованию трудовой инспекции, прокуратуры, профсоюза, полиции и др. (ст. 6 ФЗ-№ 152). Однако в этом случае руководитель обязан предупредить третье лицо о требовании использовать сведения.

Кроме того, передача персональных данных в организации может производиться из одного отдела в другой. Важно прописать эту возможность в акте с указанием причин, способов передачи, перечнем отделов и допущенных сотрудников. Работник обязательно должен быть ознакомлен с этим документом до того, как поставит свою подпись под трудовым договором.

 

Где хранятся персональные данные и как их стереть?

Законодательно нет требований, как именно надо хранить персональные данные сотрудников компании. Главное требование — не допустить их утечки.

Существует 2 варианта хранения:

  1. Бумажный (неавтоматический) носитель данных — это индивидуальная папка, куда подшиваются все документы, связанные с работником. Они должны храниться в сейфе или специальном надежном помещении. За их сохранность отвечает руководитель, начальник отдела кадров или бухгалтер.
  2. Электронный (автоматический) носитель данных — это база информации о сотрудниках, созданная в электронном виде. Ее защита чаще всего поручается специалистам из числа работников или привлеченным экспертам.

Нередко работодатели хранят данные одновременно в 2-х форматах (бумажном и электронном).

С весны 2023 года Роскомнадзор обязал всех работодателей вовремя утилизировать ПД сотрудников. Федеральный закон требует от руководителей полностью и безвозвратно уничтожать сведения о персональных данных в электронном виде и на бумаге, чтобы защитить их от попадания в чужие руки.


Читайте по теме:

Неструктурированные данные: как контролировать, зачем управлять и как избежать утечек

Как быстро и легально удостоверить персональные данные, если нет доступа к госреестрам


Важно соблюдать при этом несколько правил:

  1. Для начала надо установить порядок уничтожения информации. Для этого оформляется акт, где прописывается, когда, каким способом и кто будет это делать.
  2. После создается отдельная комиссия, куда приказом назначаются участники, определяются их полномочия и указывается поименный состав.
  3. Персональная информация утилизируется. Бумага при этом мелко измельчается или сжигается, а электронный носитель удаляется без возможности восстановления.
  4. Составляется акт о том, что данные уничтожены. В нем указывается дата, список данных, способ уничтожения.
  5. Работника оповещают об уничтожении личных сведений о нем в компании (с приложением к письму копии акта).

Важно помнить, что такие акты должны храниться в архиве организации не менее 3 лет.

 

Кого касаются правила работы с персональными данными?

Правила относятся непосредственно к операторам, работающим с личными сведениями о персонале предприятия. Ими могут стать как сотрудники муниципальных и государственных организаций, так и представители компаний. Однако любой из них должен вести деятельность в рамках правового поля.

К их работе выдвигаются определенные требования (ст. 3 ФЗ-№ 152):

  1. Вести сбор информации о сотруднике с его письменного согласия. Если это делает по требованию законодательства, то допускается обработка сведений и без согласия (например, при передаче данных в военкомат).
  2. Использовать информацию можно только в целях, прописанных в согласии.
  3. Обеспечить надежное хранение данных.
  4. Вовремя позаботиться об их уничтожении.

Каждый предприниматель должен в обязательном порядке уведомлять Роскомнадзор о ведении обработки ПД своих сотрудников, чтобы быть учтенным в реестре. Делается это только один раз.

В федеральном законе есть указание на то, что правила не распространяются на сведения о гражданах, которые касаются государственной тайны и ведения Архивного фонда.

 

Когда работодателю нужно согласие на обработку персональных данных сотрудников?

Существует предписание на работу с личной информацией граждан только с их согласия. Однако при устройстве на работу обычно такое согласие не требуется. Это возможно только при условии, что нужны лишь на те персональные данные, которые важно указать в трудовом договоре (например, образование).

Оформление согласия от персонала необходимо в следующих случаях:

  1. Когда надо получить дополнительные сведения.
  2. В будущем предполагается передача данных третьим лицам.
  3. Руководитель планирует разместить их на сайте компании или иным образом обнародовать.

Согласие не нужно, если запрос на сведения о сотруднике поступил от полиции, военкомата, налоговой службы.


Еще по теме:

Как предотвратить утечку данных

«Осторожно, данные»: как безопасно взаимодействовать с LLM


Специальные данные о работниках руководитель не может требовать, так как они не относятся к трудовым отношениям. Например, анализы, отпечатки пальцев, подробности интимной жизни, религиозных взглядах, ДНК, состоянии здоровья и прочее. Исключением могут быть только сотрудники кухни, официанты и прочие, кто обязан предоставить медицинскую книжку, что по сути является сведениями о здоровье (Приказ Минздрава № 90н).

 

Как получить согласие работника на обработку персональных данных?

При составлении документа важно прописать в нем следующие пункты:

  • дату и место составления;
  • сведения о компании (название и адрес) и ее руководителе (ФИО и должность);
  • информация о сотруднике (ФИО и паспортные данные);
  • перечень тех сведений, что будут обрабатываться;
  • цель получения согласия;
  • срок действия документа.

Недопустимо собирать информацию больше нужного объема. Чтобы составить документ, можно использовать шаблон Роскомнадзора или составить собственный.

 

Что грозит работодателю за несоблюдение правил обработки персональных данных?

Если руководитель предприятия или иной оператор работы с ПД не будут следовать требованиям закона, то это может грозить им несколькими видами наказаний:

  1. Дисциплинарным. Может применить руководитель организации по отношению к сотруднику, допустившему нарушение в работе с ПД (например, сделать замечание, объявить выговор или даже уволить).
  2. Материальным. Если действия сотрудника привели к ущербу, то руководитель может взыскать его с работника. Либо работник сам требует компенсацию в случае нарушения его прав при работе с личными данными.
  3. Административным. Назначаются штрафные санкции, если персональные данные сотрудников предприятия обрабатывались с нарушениями.
  4. Уголовным. При грубом нарушении закона о защите ПД можно получить срок от 2 до 4 лет.

Фото на обложке: Freepik

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

7 писем для старта
Начни бизнес с RB.RU
Подписаться