Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Управление HR‑процессами
Проверка контрагентов
Автоматизация бизнеса
Обучение
Коммуникации
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
Работодатели запрашивают у сотрудников персональные данные (ПД). Чаще всего это необходимо для оформления трудовых отношений при устройстве на работу. Компании обязаны обрабатывать и хранить ПД по определенным правилам. Рассказываем, что нужно знать о персональных данных сотрудников и сколько хранить такую информацию.
В этой статье:
- Общие требования к обработке и хранению персональных данных
- Что должно быть в согласии на обработку персональных данных
- Когда согласие на обработку ПД не требуется
- Срок хранения согласия на обработку ПД
- Если сотрудник отказывается подписывать согласие
- Можно ли отозвать согласие на обработку ПД
- Срок хранения биометрических персональных данных
- Как не нарушить сроки хранения персональных данных
- Требования к хранению персональных данных в информационных системах
- Требования к хранению ПД в бумажном виде
- Как организовать хранение персональных данных
- Как наказывают работодателей за нарушения в работе с персональными данными
Общие требования к обработке и хранению персональных данных
Персональные данные — это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу — субъекту персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»).
В рамках трудовых отношений персональные данные включают:
- фамилию, имя, отчество;
- дату и место рождения;
- адрес регистрации и проживания;
- паспортные данные;
- ИНН, СНИЛС;
- сведения об образовании, квалификации, профессиональной подготовке;
- данные о трудовой деятельности (стаж, должность, зарплата);
- информацию о семейном положении, составе семьи;
- медицинские сведения и другую информацию, необходимую работодателю для оформления трудовых отношений.
Любые действия с этими сведениями — это их обработка. Условия обработки персональных данных содержатся в ст. 6 № 152-ФЗ, а ст. 86 ТК РФ устанавливает ряд общих требований к работе с персданными.
Работодатель обязан собирать только необходимые для трудовой деятельности сведения и по возможности получать их напрямую у сотрудника. Другая задача компании — защитить ПД, чтобы они не потерялись и не попали в чужие руки.
Данные, которые не имеют отношения к работе или могут ущемить права и законные интересы сотрудника, можно собирать только с его согласия и если определена цель обработки таких персональных данных.
Закон требует хранить кадровые документы до 50 или 75 лет. Такие документы включают персональные данные сотрудников. Поэтому после прекращения трудового договора уничтожить или обезличить персданные работника в таких документах можно только после истечения сроков хранения.
С Контур.КЭДО вы сможете вести почти все кадровые документы в цифровом виде — это позволит хранить данные в защищенном электронном архиве и оперативно предоставлять их для аудита
Что должно быть в согласии на обработку персональных данных
Согласие на обработку персональных данных — это добровольное волеизъявление сотрудника, которое позволяет работодателю, оператору ПД, собирать, хранить, использовать и передавать его личную информацию.
Закон требует, чтобы согласие на обработку персональных данных при приеме на работу было конкретным, предметным, информированным, сознательным и однозначным (ст. 9 № 152-ФЗ).
Роскомнадзор рекомендует оформлять его для каждой цели отдельно. Согласие на обработку персональных данных может быть дано субъектом персональных данных в любой форме, которая позволяет подтвердить этот факт.
В случае обработки биометрических данных (ч. 1 ст. 11 № 152-ФЗ) и специальных категорий ПД (п. 1 ч. 2 ст. 10 № 152-ФЗ) согласие на обработку персональных данных обязательно оформляют в письменной форме. А также при включении ПД в общедоступные источники, например, в корпоративный справочник (ст. 8 № 152-ФЗ).
Согласие на обработку ПД должно содержать следующую информацию (ст. 9 № 152-ФЗ):
Сведения о работнике — ФИО, адрес, паспортные данные.
Данные работодателя — наименование организации или ФИО индивидуального предпринимателя, юридический адрес.
Цель обработки — конкретное описание цели, например «для оформления полиса ДМС». Цель должна быть законной и обоснованной.
Перечень обрабатываемых ПД — это могут быть ФИО, дата рождения, должность, сведения о зарплате и другие. Перечень должен быть исчерпывающим.
Разрешенные действия с ПД — в их числе сбор, запись, систематизация, хранение, использование, передача, блокирование, удаление, уничтожение и другие.
Срок действия согласия — период, который определяет, сколько документ будет актуален. Если срок не указан, согласие действует до достижения целей обработки.
Порядок отзыва согласия — информация о том, как работник может отозвать согласие. Как правило, для этого нужно письменное заявление.
Подпись и дата — работник должен лично подписать согласие и поставить текущую дату. В сервисе кадрового электронного документооборота Контур.КЭДО согласие можно подписать электронной подписью за один клик.
Работодатель обязан разъяснить сотруднику последствия отказа от предоставления согласия. Например, если работник не согласился на предоставление данных в страховую организацию, то работодатель не сможет оформить полис ДМС.
Подробно об обязанностях оператора персданных читайте в статье.
Когда согласие на обработку ПД не требуется
Иногда работодатель вправе обрабатывать персданные без согласия работника. Речь о ситуациях, когда закон требует их обработки, например, для заключения с соискателем трудового договора. Или для представления сведений в СФР и налоговые органы после увольнения сотрудника (п. 2 ч.1 ст. 6 ФЗ №152).
Но чаще согласие необходимо. Например, если персональные данные передают третьим лицам — в банк для оформления зарплатной карты или в бухгалтерию на аутсорсинге. Или если обрабатывают специальные категории персональных данных, например, сведения о состоянии здоровья.
Срок хранения согласия на обработку ПД
Перечень к Приказу Росархива от 20.12.2019 № 236 обязывает хранить согласие три года со дня, когда истек его срок или оно было отозвано.
Срок хранения документов отсчитывают с момента завершения работы с ними. Например, уволен последний работник, сведения о котором содержатся в документе.
Кадровые документы
| Наименование документа | Срок хранения |
|---|---|
|
Трудовые договоры, дополнительные соглашения к ним |
50 лет (если заключены после 01.01.2003 года) или 75 лет (если заключены до 01.01.2003 года) |
|
Личные карточки работников,форма Т-2 |
50 или 75 лет |
|
Приказы по личному составу, о приеме, переводе или увольнении |
50 или 75 лет |
|
Приказы о предоставлении отпусков, командировках |
5 лет |
|
Табели учета рабочего времени |
5 лет |
|
Ведомости на выдачу заработной платы |
50 или 75 лет |
|
Графики отпусков |
3 года |
|
Трудовые книжки, хранение в организации |
До востребования работником После увольнения трудовая книжка выдается работнику, а в организации хранится ее дубликат (при наличии) в течение срока, установленного для хранения личных дел |
|
Личные дела работников при наличии |
75 лет Если личные дела сформированы, срок хранения — 75 лет |
|
Документы о повышении квалификации, переподготовке |
50 или 75 лет |
Бухгалтерские документы
| Наименование документа | Срок хранения |
|---|---|
|
Расчетные листки |
5 лет |
|
Документы по учету заработной платы, в т. ч. карточки НДФЛ |
5 лет |
Документы, связанные с обработкой персональных данных
| Наименование документа | Срок хранения |
|---|---|
|
Согласия на обработку персональных данных |
3 года после истечения срока действия согласия или его отзыва Согласие действует до момента отзыва согласия работником или до достижения цели обработки и истечения срока обработки персональных данных |
|
Локальные нормативные акты, регулирующие обработку ПД (документы, определяющие политику обработки персональных данных, правила и процедуры) |
Постоянно |
|
Акты об уничтожении персональных данных |
Постоянно Необходимо хранить в подтверждение выполнения требований законодательства |
|
Журналы регистрации, например, журналы учета выдачи ПД |
3 года |
Сроки хранения бумажных и электронных документов одинаковы. Когда срок истек, работодатель обязан в установленном порядке уничтожить документы. О том, как это сделать, читайте в статье.
Если сотрудник отказывается подписывать согласие
Согласие на обработку персональных данных при приеме на работу — дело добровольное. Сотрудник вправе отказаться и не предоставлять его. Но это создает трудности для работодателя.
Что может сделать работодатель в случае отказа:
- проверить, действительно ли необходимо согласие;
- выяснить причины отказа;
- объяснить последствия;
- разъяснить цели обработки ПД.
Работодатель обязан выполнять свои обязательства по трудовому договору и закону, например, по передаче сведений в налоговую, а также обеспечивать безопасность сотрудника, даже если согласия нет (п. 2 ч. 1 ст. 6 № 152-ФЗ). Но компания не сможет предоставить работнику бонусы, если согласия нет. Например, откажет в получении корпоративных скидок.
Но важно не нарушить права работника. Нельзя давить на него, ухудшать условия труда и снижать заработную плату. Нельзя и обрабатывать данные без согласия, кроме перечисленных в законе ситуаций.
Можно ли отозвать согласие на обработку ПД
Работник имеет право в любой момент отозвать свое согласие на обработку персональных данных (ч. 2 ст. 9 № 152-ФЗ). Отзыв согласия — не препятствие для дальнейшей обработки, если для этого есть иные законные основания, в том числе исполнение трудового договора (ч. 5 ст. 21 ФЗ №152).
Срок хранения биометрических персональных данных
Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. К таким данным относятся фотографии, отпечатки пальцев, сканирование сетчатки глаза, голос и другие.
Эти персданные можно обрабатывать только в том случае, если сотрудник дал на это письменное согласие. Согласие не нужно лишь в ряде ситуаций: для осуществления правосудия, исполнения судебных актов, соблюдения законодательства об обороне, безопасности и других (ч. 2 ст. 11 № 152-ФЗ).
Закон позволяет сохранять биометрические данные только до тех пор, пока они нужны для достижения конкретных целей. Фотографию сотрудника, которую используют для оформления пропуска, можно хранить до окончания срока действия этого пропуска или до окончания срока действия трудового договора. В зависимости от того, какой срок обработки установлен в согласии.
Конкретный срок хранения биометрических персональных данных лучше установить в локальном нормативном акте организации. Например, в положении об обработке персональных данных.
Как не нарушить сроки хранения персональных данных
Нарушение сроков хранения ПД сотрудников может привести к штрафам. Вот что нужно сделать, чтобы избежать санкций:
Совет 1 — изучите законодательство и отслеживайте изменения. Информация о сроках хранения персданных содержится в (ФЗ № 152-ФЗ, Перечне к Приказу Росархива от 20.12.2019 № 236) и других нормативных документах.
Совет 2 — сначала определите, какие именно данные вы собираете и храните. Затем распределите их по категориям, чтобы легче было отслеживать сроки хранения.
Совет 3 — разработайте внутренние локальные нормативные акты (ЛНА). В них будут прописаны сроки хранения для всех категорий данных и указаны ответственные лица за хранение, обработку и уничтожение ПД.
Совет 4 — зафиксируйте начало сроков хранения каждого документа. Это может быть дата увольнения работника или дата окончания срока действия документа.
Совет 5 — обеспечьте надлежащие условия хранения. ПД должны быть защищены от доступа сторонних лиц, несанкционированного изменения и уничтожения.
Совет 6 — обучите сотрудников. Те, у кого есть доступ к персональным данным, должен знать правила работы с ними.
Совет 7 — уничтожайте данные вовремя. По истечении сроков хранения ПД следует уничтожить.
Совет 8 — проводите периодические внутренние проверки соблюдения требований законодательства о персональных данных. Это поможет вовремя исправлять нарушения.
Требования к хранению персональных данных в информационных системах
Существенную часть личных данных хранят и обрабатывают в информационных системах (ИС). Для защиты информации важно соблюдать правила, указанные в нормативных актах:
| НПА | Пояснение |
|---|---|
|
Содержит общие требования к обработке и защите персданных, в том числе в ИС |
|
|
Устанавливает, каким должен быть уровень защиты персданных и какие опции для этого должны быть в ИС |
|
|
Определяет конкретные меры безопасности, которые нужно соблюдать в ИС |
Если вы храните персданные в информационной системе, учитывайте, какой уровень защиты вам потребуется. Он включает идентификацию и аутентификацию пользователей, управление доступом, регистрацию и учет действий, а также другие меры безопасности.
Чтобы защитить персональные данные сотрудников, работодателю важно периодически проверять безопасность информационных систем и разрабатывать внутренние инструкции по их использованию. Если информацию хранят на электронных устройствах и передают через интернет, нужно обязательно шифровать и в определенных случаях обезличивать ПД. Обезличивание персданных не позволяет связать конкретные сведения с лицом, которому они принадлежат. Например, обезличивание обязательно при обработке персданных в статистических или иных исследовательских целях (ч. 9 ст. 6 № 152-ФЗ).
Требования к хранению ПД в бумажном виде
Если организация хранит персданные работников в бумажном виде, им необходимо обеспечить безопасные условия:
- определите место для хранения — закрывающиеся шкафы, сейфы, отдельные помещения с замком;
- обеспечьте защиту документов от влаги, пыли, прямых солнечных лучей, возгорания;
- систематизируйте архив для легкого поиска;
- предоставьте доступ к ним только тем лицам, кто использует персданные для выполнения должностных обязанностей;
- ведите учет документов с ПД, контролируйте их перемещения;
- убедитесь в том, что уничтоженные данные невозможно восстановить.
Рабочие места сотрудников, обрабатывающих персданные, должны быть защищены от посторонних взглядов.
Как организовать хранение персональных данных
Шаг 1 — проведите аудит текущих процессов. Определите, какие личные данные обрабатывают в компании, цели и порядок обработки, источники получения ПД, срок хранения. Убедитесь, что соблюдаете нормы законодательства.
Шаг 2 — разработайте и утвердите ЛНА. В организации должны быть положение об обработке ПД, политика конфиденциальности и инструкция по работе с данными.
Шаг 3 — организуйте хранение ПД. Бумажные документы с ПД хранят в шкафах или специальных помещениях с защитой от несанкционированного доступа. Если в компании используют информационные системы, нужно регулярно проверять их безопасность и принимать меры для защиты личных данных.
Шаг 4 — обучите сотрудников. Работники компании с доступом к ПД должны уметь с ними работать, знать правила обработки и защиты персональных данных, законодательство и локальные нормативные акты.
Шаг 5 — обеспечьте контроль. Проводите регулярные проверки, рассматривайте обращения субъектов персональных данных, устраняйте выявленные нарушения.
Подготовить, проверить и сдать отчетность через интернет.
Как наказывают работодателей за нарушения в работе с персональными данными
За нарушения в работе с персональными данными возможна дисциплинарная, административная, гражданская и даже уголовная ответственность. В том числе:
| Нарушение | Взыскание, руб. | Обоснование |
|---|---|---|
|
Нарушение трудового законодательства. Например, незаконный сбор информации о личной жизни сотрудника |
Предупреждение или административный штраф в размере от 1000 до 5000 для должностных лиц, такой же штраф для ИП, для юрлиц — от 30 000 до 50 000 |
|
|
Нарушения в области обработки персональных данных |
В зависимости от типа нарушения:
|
|
|
Незаконный сбор или распространение сведений о частной жизни работника, составляющих его личную или семейную тайну, без его согласия |
От штрафа до 200 000 рублей и обязательных работ до лишения свободы |
Персональные данные сотрудников — это ценная информация. Их сбор, обработку и хранение необходимо осуществлять в полном соответствии с законом, чтобы избежать нарушений и штрафов.
Больше экспертных статей, обзоров и ответов на вопросы по теме читайте в рубрике ««Персональные данные»»
С Экстерном соблюдать требования законодательства легко. Учет, отчетность, электронные документы — всё в одном месте.
С Экстерном соблюдать требования законодательства легко. Учет, отчетность, электронные документы — всё в одном месте.
"Нельзя собирать данные, которые не имеют отношения к работе или могут ущемить права и законные интересы сотрудника" С согласия работника и если определена цель обработки персональных данных, данные можно обрабатывать.
"После прекращения трудового договора персданные работника нужно уничтожить или обезличить в установленные законом сроки". Данные которые хранятся в силу закона (архивное законодательство для кадровых документов 50/75 лет, налоговое для отчетности - 5 лет, бухгалтерский учет и так далее) не нужно уничтожать и обезличивать после увольнения. Только после истечения сроков соответствующего законодательства.
Возможно это все и имелось ввиду и дальше раскрыто, но лучше быть точными в каждом утверждении в этой теме.
Закон о мертвых душах пусть примут, все ваши телодвижения о хранении ПД в течении 50-75 лет выглядят по меньшей мере как Вечера на хуторе близ Диканьки Гоголя или Мастер и Маргарита Булгакова. Боюсь,что большинство запросов будут на ЮК или на Северном.
Каждый номенклатурный фонд или компания стараются мутный бульон взбить миксером и создать бурю в стакане,доказывая т.о свою значимость и нужность.