Хранение персональных данных в организации

Для тех, кто намерен заняться бизнесом или организовать работу некоммерческой организации, в том числе заниматься продажей товаров через Интернет, важно продумать, каким образом будет обеспечено правильное хранение и использование персональных данных работников и клиентов. Существуют требования, четко прописанные в ФЗ-152 и других нормативно-правовых актах, но многое остается на усмотрение руководителя компании или предпринимателя. Во втором случае законом прописана необходимость достижения определенного результата, например, предупреждения несанкционированного доступа к физическим и электронным носителям, но как этого достигнуть, придется решать самостоятельно.

Определить порядок хранения персональных данных в организации на начальном этапе функционировании организации требуется по нескольким причинам:

• за игнорирование правил в отношении ПДн сотрудников и заказчиков положены внушительные штрафы;
• при многократных нарушениях возникает вероятность потери клиентов и партнеров, а также несения не только административной, но и уголовной ответственностей;
• не будет возникать трудностей при прохождении проверок контролирующими структурами;
• удастся приобрести репутацию надежного партнера и работодателя;
• грамотно организованные обработка, хранение и использование персональных данных позволяют сократить время и трудозатраты отдела кадров, то есть можно будет не держать большой штат специалистов;
• снизится вероятность получения вызовов с суд по делам о неправомерном получении либо применении конфиденциальной информации граждан;
• не будет накапливаться ненужная документация;
• процесс поиска нужной информации о сотрудниках будет требовать минимальных усилий.

Какие сведения в организации относятся к ПДн?

Определение понятия «персональные данные» изложено в ФЗ-152 от 27 июня 2006, согласно которому это любые сведения, напрямую или косвенно касающиеся гражданина. Более конкретным является определение, предоставляемое Роскомнадзором, в соответствии с которым к ПДн относится информация, позволяющая произвести идентификацию личности без дополнительных уточнений: Ф.И.О., мобильный номер, серия и номер паспорта, биометрика, СНИЛС, пароли к аккаунтам, ИНН и т.д. Отдельно прописываются операции, которые можно с ней осуществлять. Сведения можно собирать, синхронизировать, обновлять, копировать, передавать, извлекать, удалять, обезличивать, блокировать, использовать и уничтожать.

Все фирмы и учреждения, которые нанимают подрядчиков, формируют штат сотрудников или предлагают клиентам заключить договор на предоставление услуг, а также владельцы сайтов с формами обратной связи являются операторами ПДн. Каждому из них предстоит разобраться, где и как правильно должны храниться персональные данные сотрудников, клиентов и партнеров. С целью минимизации или исключения ошибочных действий, следует сориентироваться в законодательных требованиях, подобрать оптимальный вариант сохранения сведений (на бумажных либо на электронных носителях), определиться с количеством сотрудников в штате и направлением деятельности, а затем приступать к непосредственным действиям по обеспечению защиты конфиденциальной информации. Будьте готовы к тому, что на разработку как технических мер информационной безопасности ПДн, так и приведение бизнес-процессов компании в соответствие с положениями ФЗ-152 придется выделить дополнительные финансовые ресурсы и время.

Хранение персональных данных работников

Работодатель несет ответственность за информацию, которую получает от нанимаемого персонала, причем это касается всех категорий сведений, начиная от семейного положения и образования, заканчивая адресом проживания и прошлыми местами трудоустройства. В список документов, содержащих ПДн, за которые отвечает руководство компании, входят:

• удостоверяющий личность документ — гражданский, заграничный паспорт или паспорт моряка;
• трудовая книжка, кроме ситуаций, когда речь идет о первом трудоустройстве;
• полис государственного пенсионного страхования;
• военный билет;
• дипломы и свидетельства о получении того или иного образования, повышении квалификации;
• разрешения на выполнение узкоспециализированных (в том числе опасных) видов работ;
• идентификационный код налогоплательщика.

Для принятия на работу будущий сотрудник должен предоставить документы в бумажном либо электронном виде в установленной законом форме. Обязательным является заполнение формы Т-2, где предстоит указать общие сведения и информацию о приеме на ту или иную должность. В будущем именно в личную карточку вносят пометки о смене департамента или специализации, повышении или понижении в должности, прохождении аттестации, повышении квалификационного уровня, переподготовке, наградах и социальных гарантиях. Дополнительно прописывается контактный телефонный номер и место проживания (формальное и фактическое).

Организация учета и хранения персональных данных в соответствии с законодательными нормативами — зона ответственности работодателя, которому предстоит:

• выбрать место для размещения документов;
• назначить лиц, которые будут нести ответственность за сохранность носителей информации;
• установить режим доступа и круг людей, которые будут иметь право работать с ПДн;
• принять профилактические меры от кражи и передачи конфиденциальных сведений третьим лицам;
• получить письменное согласие на использование личной информации от каждого сотрудника;
• выдать локальные документы, регулирующие операции с ПДн, и позаботиться о том, чтобы их содержание было донесено до персонала.

Естественно, часть вопросов можно переложить на плечи подчиненных, но вот подписывать внутренние положения, приказы и т.д. должен именно руководитель, и ему необходимо четко понимать, как устроен процесс обеспечения безопасности ПДн.

Основные правила хранения и использования персональных данных оператором

В зависимости от сферы деятельности, масштабов организации и других факторов система обработки личной информации может существенно отличаться. Часть компаний предпочитает «по старинке» использовать бумажные носители, другие переходят в полностью электронный формат работы, хотя чаще всего наблюдается комбинированный вариант. ФЗ-152 и правительственными постановлениями предусмотрены общие условия хранения персональных данных в организации, которых должны придерживаться все:

1. Сохранение любых ПДн осуществляется в течение срока, который прописывается в соглашении либо необходим для достижения целей использования сведений.
2. Когда исчезает потребность либо достигается цель обработки, информацию нужно обезличить или уничтожить, если иного не предусматривают другие федеральные законы или подзаконные акты.
3. Любые действия в отношении ПДн не должны противоречить Трудовому Кодексу РФ, Конституции и другим ФЗ.
4. Полученные через электронные или иные источники сведения о сотруднике не могут быть основанием для принятия начальством фирмы решений, которые затрагивают интересы владельца ПДн.
5. Для защиты личной информации работодатель должен использовать собственные финансовые и прочие ресурсы.
6. В случае неправомерных действий со стороны фирмы работник имеет право подать судебный иск, где кроме компенсации (материальной и моральной) потребовать уничтожения ПДн из электронной базы либо с физических носителей.
7. Порядок обработки, хранения и использования персональных данных работников закрепляется в специальном положении и предусматривает проверку достоверности, предоставленной гражданином информации.
8. Каждый штатный и внештатный специалист должен получить разъяснения о собственных правах и расписаться в документе, который это подтверждает.
9. Передавая ПДн, работодатель обязан получить письменное разрешение на осуществляемые действия, кроме ситуаций, когда речь идет о здоровье и жизни гражданина.
10. Запрещено использовать личные данные для маркетинговых целей без согласия работника.
11. Все, кто имеет доступ к персональным данным работников, должны знать об ограничениях их обработки и необходимости соблюдения правил их хранения.
12. Нельзя запрашивать сведения о состоянии здоровья, если эта информации не влияет на способность человека справляться со своими профессиональными обязанностями.
13. Личные дела и другие ПДн персонала, как правило, хранят в кадровом департаменте в виде бумажных документов (папок с файлами) или на флеш-накопителях, в электронных БД.
14. Если сведения получены не напрямую от гражданина, то его нужно проинформировать об источнике информации, целях обработки, предполагаемых пользователях и его правах, обеспечиваемых федеральным законом о ПДн.
15. Доступ к персональным данным должен быть только у представителей отдела кадров, бухгалтерии, службы безопасности предприятия и гендиректора, также частичные права на использование могут быть предоставлены тем, кто работает в секретариате, для выполнения определенных текущих задач.

Инструкция, как организовать хранение и использование персональных данных

И в ФЗ-152, и в ТК РФ четко прописано, что за безопасность личных сведений несет ответственность руководитель организации, которому для выполнения всех правил необходимо:

• разработать и выдать внутренний документ, определяющий ключевые аспекты, связанные со сбором, обработкой и хранением конфиденциальной информации о персонале. Каждый работник после выдачи локального акта должен будет с ним ознакомиться под расписку;
• составить и утвердить перечень обрабатываемых в организации ПДн, в том числе тех, которые передаются в Пенсионный Фонд, службы статистики, трудовую инспекцию и налоговые органы;
• определиться и официально назначить ответственных за операции с ПДн и защиту сведений, идентифицирующих личность;
• позаботиться о подготовке заявлений о согласии на обработку персональной информации, журналов учета и проверок — это необходимо на случай неожиданных или плановых проверок со стороны Роскомнадзора, ФСБ или ФСТЭК;
• выбрать место, где будут храниться персональные данные сотрудников, зафиксированные на бумажных носителях, и подписать соответствующий приказ. Наиболее ценные бумаги помещаются, как правило, в сейф либо запирающийся шкаф, которые опечатываются, причем личные дела и трудовые книжки положено хранить отдельно друг от друга.

После исполнения всех требований, предъявляемых к операторам ПДн, необходимо осуществлять контроль над соблюдением прописанных в локальных актах правил, а также отслеживать изменения в нормативно-правовой базе. Для того чтобы поддерживать процесс обработки ПДн в организации в соответствие действующим требованиям необходимо периодически проводить независимый аудит, что позволит своевременно выявлять и устранять ошибки и несоответствия в документах, тем самым гарантируя сохранность и защиту персональных данных сотрудников и клиентов.