Организация рабочих мест при обработке персональных данных работников

Административная ответственность

Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.

Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников

Нарушение Ответственность Норма 
законодательства
Нарушение установленного законом 
порядка сбора, хранения, 
использования или распространения 
информации о гражданах 
(персональных данных)
Для должностных лиц:
от 500 до 1000 руб.;
для юридических лиц:
от 5000 до 10 000 
руб.
Статья 13.11 
КоАП РФ
Разглашение информации, доступ к 
которой ограничен (персональных 
данных), лицом, получившим к ней 
доступ в связи с исполнением 
служебных или профессиональных 
обязанностей
Для должностных лиц:
от 4000 до 5000 руб.
Статья 13.14 
КоАП РФ

Бумажные носители личной информации

В государственных учреждениях и частных компаниях работники отдела кадров ведут личные дела сотрудников традиционным способом (в бумажном варианте). В этом случае на каждого сотрудника заводится папка-накопитель, в которую в хронологическом порядке подшивают информацию, относящуюся к персональным данным, в виде оригиналов и копий. При этом закон не регламентирует единого порядка хранения данных дел в частных компаниях.

Хранение ПДн на бумажных носителях

ПреимуществаНедостатки
Облегчение учета личных данных – все они хранятся в одном месте.Увеличение объема работы – регулярная прошивка, нумерация, внесение данных в опись, сверка предоставленных копий данных с оригиналами, архивирование дел.
Четкая систематизация данных.Необходимость в дополнительных ресурсах для хранения бумажных данных – приобретение сейфов, выделение специальных помещений для хранения дел.
Быстрый поиск по данной информации.Обучение персонала навыкам работы с данной категорией дел.
 Сложность поиска нужных данных, касающихся отдельного работника.
 Увеличение риска распространения конфиденциальных данных.

Информация с персональными данными сотрудников может распределяться по разным бумажным носителям, и подшивается данная документация в отдельные тематические папки-накопители в соответствии с номенклатурой компании.

Документация, касающаяся персональных данных сотрудников, общего назначения (анкеты, автобиографии, приказы, доверенности, трудовые договоры) хранится в отдельных накопительных папках. Хранят папки с личными данными в сейфах, располагая в алфавитном порядке или согласно номеру регистрации. Хранение персональных данных таким способом требует меньше трудозатрат сотрудников кадровой службы. 

Цель обработки данных

Цели обработки персональных данных могут быть различны. Наиболее простой
случай — предоставление сведений в целях исполнения трудового договора. Например,
сотрудник дает согласие на передачу необходимых персональных данных работодателем
в кредитное учреждение (для оформления банковской карты) и страховую компанию
(для оформления страхового полиса).

Также довольно популярной целью получения согласия является предоставление
данных при участии в дисконтных программах, лотереях и т. п.

Т. е. при заполнении данной позиции необходимо четко представлять — с какой
целью передаются персональные данные. Если четкого ответа на данный вопрос нет,
то стоит задуматься: «А надо ли такие сведения передавать?».

Например, при оформлении дисконтной карты операторы нередко требуют паспортные
данные с указанием даты выдачи документа и органа его выдавшего. Представляется
логичным, что такие данные явно будут излишними. Для участия в «скидках» достаточно
иметь данные, позволяющие идентифицировать человека (например: фамилия, имя
отчество и возможно место проживания или электронный адрес для направления рекламных
материалов, или же дата рождения для направления специальных предложений в связи
с праздником). Необходимость указания паспортных данных или сведений «о прописке»
должна вызвать сомнения.

С учетом изложенного могут быть рассмотрены следующие цели обработки:

Хранение персональных данных на территории России

Может быть, помните, что начиная с лета 2014 года было много шума из-за принятия закона о персональных данных (№242-ФЗ)? Этот закон обязывает операторов персональных данных обеспечить запись, хранение (и прочие операции) персональных данных граждан РФ с использованием баз данных на территории РФ с 1 сентября 2015 года.  Это означает, что персональные данные наших соотечественников должны храниться на российской территории. Однако это не означает,  что за рубежом они не могут храниться вовсе. Согласно позиции Министерства связи, хранение данных за пределами РФ является возможным, если первоначальная обработка осуществлялась на территории РФ. Другими словами, можно иметь две базы данных – одна в России, а другая – за рубежом. При этом Роскомнадзор, скорее всего, не сможет проверить, насколько эти базы  идентичны.

Возможно ли продление действия соглашения?

Оператор имеет право продлевать любой из периодов, указанных выше, но для этого компании следует выполнить несколько требований. Условия и нюансы продления срока прописываются в «Политике в отношении обработки персональных данных». Субъект ПДн, согласно действующему законодательству, имеет право в любой момент ознакомиться с этим документом.

Еще одна особенность заключается в том, что продление периода обработки или хранения сопряжено с появлением иных целей, но не выходящих за рамки закона.

Другими словами, оператору разрешается менять сроки, имея на то основания и продолжая использовать конфиденциальную информацию только в рамках актуальных законодательных актов.

Компания, собирающая персональные данные, вправе выбрать как автоматическое продление, например, данного субъектом разрешения, так и ручное (с дополнительным уведомлением). При этом, физическое лицо, владеющее информацией, не лишается возможности в любой момент отозвать согласие.

Как видите, профильный закон в Российской Федерации устанавливает четкие требования относительно указания периодов и дат хранения и обработки ПДн. Вместе с тем, на операторов налагается обязанность уведомить субъекта о времени действия его собственного соглашения на обработку информации.

Сама продолжительность хранения – законом не регламентируется, к ней предъявляется только одно требование: хранить не дольше, чем требуется для достижения целей обработки.

Кто имеет право использования персональных данных

Федеральный закон установил перечень лиц, которые могут производить действия с конфиденциальными данными сотрудников:

  • сотрудник, назначенный на должность оператора ПДн;
  • заместитель директора по административной работе;
  • HR-менеджер;
  • начальник кадрового отдела.

Однако остальные сотрудники компании, также периодически сталкиваются с личными сведениями работников при работе с документами. Это бухгалтеры, секретари специалисты по ведению баз данных, специалисты по работе с персоналом.

Все должностные лица предприятия, которые осуществляют обработку ПДн сотрудников, обязаны обеспечить сохранность документов, в которых ведется учет кадров, графиков выплат заработной платы, рабочих смен и прочих кадровых сведений.

Разрешение на использование ПДн

Непременным условием для обеспечения корректной работы со сведениями служащих является разрешение на их использование. Такое разрешение берется у субъекта ПДн оператором, в нем указываются период действия и срок отзыва этого разрешения.

Установить длительность действия разрешения можно двумя способами: обозначением конкретной даты или использованием фразы юридического характера: «Данное соглашение действует со дня его подписания и до момента отзыва этого решения».

Так сколько же все-таки должны храниться конфиденциальные сведения? Содержание данных в базе обеспечивается оператором на тот период, который необходим для использования ПДн.

Бывают ситуации, когда предприятие не использует данные непрерывно. В этом случае доступ к ним обеспечивается в любое время, когда они понадобятся. 

Также оператор обозначает конкретные действия, которые будут предприняты с ПДн по достижении конца срока их использования – обезличить или уничтожить. Обезличить информацию – значит изменить ее форму, которая не позволит распознать субъекта данных.

Обработка персональных материалов прямым образом связана с их хранением. И если использование ПДн завершается по достижении конкретной цели – оператор обязан дальше не хранить их. 

Нельзя указывать разные сроки или условия для прекращения хранения либо использования персональной информации. К примеру, когда срок хранения ПДн завершился, тоих обработка в дальнейшем проводиться не может и не должна.

Хранение персональных данных

Другим вопросом, имеющим отношение к документации оператора ПДн, является
вопрос о сроках хранения персональных данных. В отношении персональных данных
можно говорить о трех способах определения срока хранения информации, который
может быть определен:

  • нормативным правовым актом;
  • достижением цели обработки данных;
  • решением субъекта.

Наиболее простая ситуация имеет место, в случае если срок хранения установлен
в согласии субъекта. В такой ситуации стоит лишь помнить, что субъект ПДн не
может указать срок меньший, чем предусмотрен нормативным правовым актом, устанавливающим
срок хранения информации. Например: Перечнем типовых управленческих документов,
образующихся в деятельности организаций с указанием сроков хранения, утвержденным
руководителем Федеральной архивной службы России 15.08.1988, установлены следующие
сроки хранения документов в части расчетов с работниками организации:

  • лицевые счета (форма Т-2) — 75 лет;
  • расчетные (расчетно-платежные) ведомости — 5 лет;
  • книги учета депонированной заработной платы, журналы регистрации исполнительных
    листов — 5 лет;
  • исполнительные листы — до минования надобности; справки, представляемые
    в бухгалтерию на оплату учебных отпусков, получения льгот по налогам и другие
    — до минования надобности;
  • договоры, соглашения (хозяйственные, операционные, трудовые и другие)
    — 5 лет.

В зависимости от сферы деятельности необходимо анализировать нормативные
правовые акты, определяющие сроки хранения документов, содержащих персональные
данные.

Так, например, пунктом 12 Правил взаимодействия операторов связи с уполномоченными
государственными органами, осуществляющими оперативно-розыскную деятельность,
утвержденных Постановлением Правительства РФ от 27.08.2005 № 538, предусмотрено,
что оператор связи обязан хранить информацию об абонентах оператора связи и
оказанных им услугам в течение 3-х лет. Для образовательных учреждений следует
руководствоваться письмом Минобразования РФ от 20.12.2000 № 03-51/64.

Наиболее сложная ситуация может иметь место в случае установления срока хранения
«по достижению цели обработки информации».

Например: физическое лицо заключает договор бытового подряда. Логично предположить,
что цель обработки информации будет достигнута, когда будет выполнен договор
и заказчик примет результаты работ. Однако в ряде случаев может быть предусмотрена
гарантия на определенный срок, т. е. договор продолжает действовать после выполнения
работ и в течение срока гарантийного обслуживания.

По истечении этого срока информация о физическом лице должна быть удалена.
Однако некоторые организации предпочтут сведения не уничтожать (например: в
целях предоставления скидок при заключении следующих договоров или направления
клиентам рекламной информации).

В такой ситуации по окончании договора необходимо будет получить согласие
у субъекта ПДн и предусмотреть новый срок обработки данных.

Таким образом, в локальных актах организации необходимо определить сроки
хранения информации. Хранить ПДн можно не дольше, чем этого требуют цели их
обработки, по достижению которых ПДн подлежат уничтожению.

Учитывая данное требование законодательства, в зарплатных конфигурациях фирмы
«1С» реализован механизм уничтожения персональных данных, не подлежащих обязательному
хранению. Предполагается, что уничтожение данных может быть выполнено, например,
по требованию кандидата, который предоставлял свои сведения на этапе подбора,
но в последствие так и не стал сотрудником (рис. 3).

Рис. 3

Уничтожение сведений выполняется только пользователем с полными правами в
новой форме Управление персональными данными. При уничтожении сведений
выполняется замена значений защищаемых полей пустыми значениями.

Иначе говоря, происходит очистка полей, а ссылочная целостность базы данных
сохраняется.

Реализованный в программе алгоритм позволяет включить в настройках регламентных
заданий автоматическое уничтожение персональных данных. Т. е. данные кандидатов
будут уничтожаться автоматически по истечении срока, указанного в опросе (рис.
4).

Рис. 4

В завершение статьи необходимо напомнить, что обработка персональных данных
в нарушение действующего законодательства может повлечь гражданскую, уголовную,
административную, дисциплинарную и иную предусмотренную законодательством РФ
ответственность.

Порядок хранения личных данных работников предприятия

Любые трудовые отношения должны начинаться с подписания документов (об оказании услуг, по кредитованию и др.), заключения трудовых контрактов, приказов с обязательным занесением в эти бумаги личной информации о служащих (фамилии, имени, отчества, адреса – фактического и места прописки, информации о предыдущем рабочем месте, стаже и пр). Поэтому каждый работодатель по закону обязан знать процедуру обработки личных данных своих служащих и выполнять ее.

Существует ряд требований и нормативов, с учетом которых работодатель обязуется производить хранение и использование такой информации:

  • период нахождения персональной информации в базе не должен превышать времени, отведенного на реализацию целей и задач, для которых необходима обработка этой информации;
  • сразу после решения этих задач и достижения целей всю использованную информацию о работнике требуется обезличить и удалить либо уничтожить;
  • если пропала необходимость в дальнейшем хранении и использовании ПДн – такие данные также подлежат уничтожению.

Руководителем организации назначается ответственное лицо (оператор), на которое возлагается функция по защите личных данных всего штата (хранение, обработка, использование, корректировка, передача, удаление). Если в какой-то момент оператор не может выполнить свои обязанности, он должен делегировать эти полномочия иному служащему фирмы с составлением и подписанием официального приказа. 

В таком приказе указывается обязательство обеспечения абсолютной конфиденциальности и безопасности хранимых ПДн.

Как организовать хранение персональных данных работника

Согласно ст. 88 Трудового кодекса РФ (глава 14 ТК РФ посвящена обязанностям и правам работника и работодателя в сфере персональных данных) работодатель за свой счет обязан реализовать меры по защите персональных данных. Защищает он их от неправомерного использования или утраты. Работодатель принимает локальные акты (приказ об утверждении положения о персональных данных, о назначении ответственного за обработку данных, устанавливает доступ к персональным данным). Очевидно, что до обезличивания персональных данных или их уничтожения, работодатель обязан хранить данные с учетом требований ограниченного доступа и защиты от несанкционированного использования.

Организация хранения ПД работника работодатель описывает в определенном документе. может Это может быть положение о персональных данных. Или в специальный акт (об организации хранения). На практике, удобно все особенности обработки данных прописать в одном документе. А с его текстом работодатель обязан ознакомить каждого работника. Передача персональных данных работника третьему лицу (вне организации) допускается только с согласия работника.

Является ли ваша организация оператором персональных данных?

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е

вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Образец заявления на обработку персональных данных работника

В соответствии с п. 1 ст. 6 закона от 27.07.2006 № 152-ФЗ «О персональных данных», обработка фирмой-работодателем таких данных производится только при соблюдении ряда условий. В числе таковых согласие субъекта персональных данных на передачу сведений о себе в обработку (подп. 1 п. 1 ст. 6 закона № 152-ФЗ). Оно оформляется в виде согласия на обработку персональных данных. Одновременно гражданин может дать согласие оператору на предоставление его сведений третьим лицам.

Физическое лицо вправе отозвать свое согласие, для этого составляется заявление об отзыве.

В соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным Приказом Минкультуры РФ от 25.08.2010 № 558, срок хранения персональных данных работника составляет 75 лет.

Где еще хранятся ПДн работников?

Система пенсионного страхования служащих также располагает данными о работниках. Документы с такой информацией должны храниться в структуре не менее 60 лет и обязательно соответствовать следующим критериям:

  • содержать сведения о личном счете застрахованного субъекта;
  • соответствовать определенной форме (обязательно письменной) и иметь подпись субъекта;
  • иметь свой электронный дубликат с соответствующей цифровой подписью владельца ПДн;
  • содержать все сведения о налогах и взносах, удержанных из заработной платы или иных выплат работнику в счет Пенсионного фонда;
  • подаваться руководителем предприятия в фонд социального страхования для ведения индивидуального учета граждан в системе соцстрахования.

Что выбрать: время хранения или условия прекращения?

Закон позволяет выбрать либо конкретный период хранения данных, либо ограничить обработку наступлением определенного условия. Однако на оператора налагаются обязанности обязательно ограничить обработку данных по времени.

Юристы советуют использовать конкретный период прекращения обработки только в том случае – если сведения необходимы оператору для ограниченной цели.

Комбинированный вариант «условие + дата» используется довольно часто. Возьмем адвокатскую контору, планирующую хранить сведения о клиентах два года с момента последнего обращения. Тут присутствует сразу два критерия – два года (конкретный период) и определенное условие – отсутствие обращения в адвокатскую организацию.

Медицинские учреждения в нашем государстве, как правило, не ограничивают себя четкими сроками, поскольку законодательство обязывает их хранить сведения, касающиеся сферы здравоохранения, довольно долго. Закон дает возможность операторам выбирать, как именно устанавливать период – определяя временной отрезок обработки или событие, наступление которого будет означать прекращение обработки конфиденциальных сведений.

Как хранить личные сведения: общие требования

Условия хранения и использования персональных данных установлены законодателем. Несоблюдение требований закона сотрудниками отдела кадров влечет нарушение права граждан на конфиденциальность их личных данных, закрепленного в Конституции РФ.

В соответствии с нормами статьи 87 Трудового кодекса России, порядок хранения и обработки персональных данных сотрудников компании разрабатывается и утверждается руководителем. Та же статья Трудового кодекса регламентирует, что внутренний порядок хранения и использования личных данных сотрудников разрабатывается с учетом законодательных норм. То есть хранится личная информация с учетом требований, закрепленных в Конституции, Трудовом кодексе, ФЗ «О персональных данных» и других нормативных актах.

Сроки хранения документации с персональной информацией сотрудников закреплены Приказом Министерства культуры № 558, принятым в 2010 году. В соответствии с нормативно-правовым актом:

  • в течение 5 лет хранятся служебные и докладные записки, приказы и выписки из них, командировочные листы, а также справки, не включенные в личные дела;
  • 75 лет – расчетные ведомости и листы о начислении и выдаче заработной платы, премий, пособий и материальной помощи, а также доверенности на получение денег или материальных ценностей;
  • на протяжении 3 лет должны храниться заявления о приеме на работу или увольнении, анкеты и автобиографии, рекомендательные письма, документация, касающаяся перевода работника на другую должность или новое место службы.

Для обеспечения безопасности хранения и обработки персональных данных разрабатывается специальный акт, именуемый «Соглашением о неразглашении конфиденциальных данных», который подписывают должностные лица, получившие доступ к персональным данным работников компании: как рядовые сотрудники отдела кадров и бухгалтерии, так и руководители отделов и управлений, включая исполнительного и генерального директора компании.

Электронные носители личной информации

Хранение персональных данных на электронных носителях предполагает использование автоматизированных баз данных и защищенных информационных систем. Обработка конфиденциальных данных на электронных носителях имеет ряд преимуществ, однако в таком способе есть и недостатки.

Хранение ПДн на электронных носителях

ПреимуществаНедостатки
Снижение расходов на приобретение дополнительных ресурсов для хранения данных.Необходимость создавать резервные копии баз данных.
Отсутствие необходимости в специальных помещениях для хранения.Высокая стоимость оборудования и программ, обеспечивающих безопасность персональных данных, которые хранятся на электронном носителе.
Высокая скорость поиска, обработки и использования данных.Необходимость в обучении персонала навыкам администрирования для пользования электронными данными.
Защищенность конфиденциальных данных от несанкционированного доступа.Сотрудники, получившие доступ к данным, должны уметь работать с электронными носителями информации.
Неограниченный срок хранения данных (в отличие от бумажных носителей). 
Автоматическая архивация данных. 

Для защиты электронных баз данных и хранящейся на них личной информации:

  • внедряют уровни доступа сотрудников к данным хранилищам;
  • ограничивают свободный вход работников без специального допуска в помещения, где установлено оборудование для обработки данной информации;
  • четко регламентируют хранение, обработку и учет данной информации и электронных носителей.
Поделитесь в социальных сетях:vKontakteFacebookTwitter
Напишите комментарий