Нанимая людей в штат или привлекая к деятельности организации подрядчиков, руководители не только берут на себя обязательства по обеспечению социальных гарантий и налоговым отчислениям по заработной плате, но также автоматически становятся операторами ПДн. В соответствии с положениями ФЗ-152, компании должны за счет собственных ресурсов позаботиться о хранении персональных данных в личном деле и других документах. Чтобы все сделать правильно, следует определиться, какая информация относится к данной категории, какие действуют ограничения по срокам, какие условия нужно соблюдать для исключения риска нарушения прав субъекта ПДн.
Взаимоотношения в данной сфере возникают еще на этапе принятия решения о трудоустройстве, когда соискатель сообщает свою фамилию, имя, отчество, контактный телефонный номер и сведения об образовании. Если собеседование успешно пройдено, и человека берут на ту или иную должность, то от него требуют комплект документов, включающий:
- паспорт гражданина РФ либо иной документ, позволяющий идентифицировать личность;
- трудовую книжку в бумажном или электронном формате (виртуальный вариант стал доступен с 1 января 2021 года);
- СНИЛС — с 2019 года допускается сбор и хранение личных данных сотрудников о регистрации в системе единого пенсионного страхования в электронном виде;
- военный билет (если гражданин состоит на воинском учете);
- справка об отсутствии судимостей;
- дипломы и свидетельства, доказывающие наличие определенных навыков, знаний и квалификации для выполнения обязанностей, предусмотренных занимаемой должностью.
Получив доступ к ПДн, предприятие обязано организовать их обработку в строгом соответствии с действующими нормативами, иначе первая же проверка обнаружит нарушения, и возникнет необходимость платить штраф. Согласно принятой классификации, сведения, которые собирает, использует, копирует, передает, синхронизирует и накапливает кадровая служба, являются конфиденциальными. Это значит, что доступ к ним может быть у ограниченного круга лиц, а руководству фирмы необходимо урегулировать процесс их применения для изначально предусмотренных целей, которые прописаны в соглашении и уведомлении в Роскомнадзор о начале обработки ПДн.
Основным источником информации о том, как хранят персональные данные в личных делах работников в компании, является Положение о защите ПДн — внутренний нормативно-правовой акт, подписанный генеральным директором. Дополнительно разрабатывается соглашение владельца на совершение операций с конфиденциальными сведениями — только после того, как сотрудник поставит на этом документе свою подпись, работодатель имеет право совершать операции, которые им предусмотрены.
Принципы и требования к обработке и хранению ПДн работников
В список обязанностей предприятия, которое обеспечивает трудоустройство, входит:
- составление и утверждение специальным приказом положения о хранении ПД в личном деле и других документах;
- выбор из числа сотрудников тех, кто будет нести индивидуальную ответственность за учет и защиту конфиденциальных сведений, а также донесение до них сути возлагаемых обязанностей (под расписку);
- получение письменного разрешения на операции с ПДн от каждого трудоустроенного гражданина;
- внесение корректировок в документы, без которых невозможно вести кадровый и бухгалтерский учет, например, карточку по форме Т-2 и трудовой договор;
- формирование личных дел с документами (это могут быть, как оригиналы, так и копии), в которых содержатся личные данные;
- контроль соблюдения установленных правил и мер защиты информации ограниченного доступа;
- обеспечение передачи ПДн третьим лицам только после получения письменного согласия владельца. Правда, в Пенсионный Фонд, правоохранительные и налоговые органы, а также в ФСС передавать информацию можно без дополнительных формальностей.
Когда речь идет о получении сведений для составления личной карточки, из анкеты или заключения о состоянии здоровья соискателя на должность, а также из ИНН, паспорта и СНИЛС, ранее предоставленных для составления трудового договора, получать согласие субъекта ПДн не нужно.
Правила и сроки хранения конфиденциальных сведений о персонале
Важным аспектом работы с ПДн сотрудников является выбор способа их хранения. На законодательном уровне не предусмотрено жестких требований по поводу того, как сохранять информацию — на бумажных либо на электронных носителях. Но в обоих случаях необходимо гарантировать защиту от несанкционированного доступа. Личные дела представляют собой папки с файлами, которые периодически пополняются, и их месторасположение, как и других документов с ПДн, нужно прописать в соответствующем приказе, предварительно составив список помещений и мест хранения, а также лиц, которые будут за них отвечать. Где хранить паспортные данные сотрудников — в сейфе, закрытом опечатанном шкафу или в другом месте, работодатель может решить самостоятельно, но с учетом:
- необходимости обеспечения доступа к информации уполномоченным лицам;
- законодательных предписаний в отношении сохранения архивной документации;
- ранее установленного приказом порядка сбора и обработки сведений;
- способов работы с ПДн в информационных системах и на бумажных носителях;
- положений ФЗ-152, Трудового Кодекса, Конституции РФ и других нормативно-правовых актов, регулирующих данную сферу взаимоотношений между работником и работодателем.
Предельного внимания требует соблюдение установленных сроков обработки и хранения конфиденциальной информации о персонале. Запрещено совершать операции с ПДн, если достигнута цель обработки, отозвано согласие субъекта, отпала необходимость в личных сведениях или завершился срок действия разрешения на использование данных. Что касается соглашений, то за исключением случаев, когда действуют федеральные законы либо договора, их положено хранить в течение 1 года. При этом в обязанности компании или ИП входит обезличивание или уничтожение ПДн.
Особенности хранения паспортных данных в личном деле работника
Для упрощения поиска и использования сведений о штатных и внештатных сотрудниках на предприятиях формируют личные дела. Каждое из них содержит заполненные формы единого образца, причем периодически в них добавляют новые файлы, например, о переходе в другой отдел, прохождении курса повышения квалификации, получении наград, а также о премировании и увольнении. Если речь не идет о гражданских служащих, то закон четко не регламентирует, каким образом личные дела должны создаваться и вестись, также отсутствуют конкретные ограничения относительно их наполнения. Как с точки зрения оптимизации документооборота, так и в плане предупреждения обвинений в избыточности сохраняемых данных, есть смысл уничтожать ненужные копии документов, содержащих конфиденциальные сведения о работниках.
Возможность сохранения копий документов, относящихся к ПДн
У многих работодателей возникают сложности не только с вопросом, можно ли хранить паспортные данные сотрудников в личных делах, но и с тем, допускается ли добавление в них копий ИНН, паспорта, СНИЛС и т.д. С одной стороны, работник подписал согласие на обработку информации, но с другой — четкого упоминания о разрешении хранении дубликатов в ФЗ-152 и ТК нет. Если тщательно проанализировать законодательную базу, можно сделать вывод, что копии в личных делах могут присутствовать, но только если:
- работник дал письменное согласие на хранение ПДн, указанных в копиях, при этом четко прописано, что для достижения целей, указанных в ФЗ-152 (в 1 части 6 статьи в пунктах
2-11) их обработка не требуется; - ПДн, которые содержатся в дубликатах, не превышают по объему информацию, которая нужна работодателю для выполнения изначально прописанных в соглашении целей обработки;
- четко определены цели проведения операций с личной информацией, причем они не вступают в противоречие с действующими нормативно-правовыми актами в сфере ПДн.
Перечисленные условия должны быть соблюдены одновременно, иначе есть риск возникновения претензий со стороны представителей проверяющих органов.
