Не персональные данные. Порядок обработки персональных данных сотрудника. Срок хранения персональных данных сотрудника

Содержание
  1. Срок хранения персональных данных работника | Прекращения использования ПДн
  2. Порядок хранения личных данных работников предприятия
  3. Кто имеет право использования персональных данных
  4. Ограничение времени хранения ПДн
  5. Где еще хранятся ПДн работников?
  6. Разрешение на использование ПДн
  7. Продление термина разрешения
  8. Особенности хранения бумажных документов
  9. Неавтоматизированная обработка персональных данных в организации
  10. Организация неавтоматизированной обработки персональных данных
  11. Использование типовых форм документов, содержащих персональные данные
  12. Ведение журналов, реестров, книг при организации пропускного режима
  13. О несовместимости целей обработки и уничтожении персональных данных
  14. Обеспечение безопасности обработки персональных данных
  15. Основные термины и определения, используемые при неавтоматизированной обработке персональных данных
  16. Хранение и использование персональных данных работников
  17. Хранение персональных данных работников
  18. Кто имеет право обрабатывать и использовать персональные данные
  19. Порядок хранения персональных данных работников
  20. Срок хранения
  21. Нормативные акты о защите данных
  22. 5 шагов по организации учета и хранения персональных данных
  23. Какие данные являются персональными
  24. Обработка персональных данных
  25. Организация учета и хранения персональных данных
  26. Подведем итоги

Срок хранения персональных данных работника | Прекращения использования ПДн

Не персональные данные. Порядок обработки персональных данных сотрудника. Срок хранения персональных данных сотрудника

Законодательством Российской Федерации определено понятие персональных данных (ПДн) как информация, которая относится к физлицу (названному субъектом персональных данных), предоставляется иным физическим либо юридическим лицам. В целях обеспечения безопасности граждан и защиты от незаконного получения ПДн законодательство разрабатывает нормативные акты, регламентирующие процедуру работы с такими данными.

Порядок хранения личных данных работников предприятия

Любые трудовые отношения должны начинаться с подписания документов (об оказании услуг, по кредитованию и др.

), заключения трудовых контрактов, приказов с обязательным занесением в эти бумаги личной информации о служащих (фамилии, имени, отчества, адреса – фактического и места прописки, информации о предыдущем рабочем месте, стаже и пр).

Поэтому каждый работодатель по закону обязан знать процедуру обработки личных данных своих служащих и выполнять ее.

Существует ряд требований и нормативов, с учетом которых работодатель обязуется производить хранение и использование такой информации:

  • период нахождения персональной информации в базе не должен превышать времени, отведенного на реализацию целей и задач, для которых необходима обработка этой информации;
  • сразу после решения этих задач и достижения целей всю использованную информацию о работнике требуется обезличить и удалить либо уничтожить;
  • если пропала необходимость в дальнейшем хранении и использовании ПДн – такие данные также подлежат уничтожению.

Руководителем организации назначается ответственное лицо (оператор), на которое возлагается функция по защите личных данных всего штата (хранение, обработка, использование, корректировка, передача, удаление). Если в какой-то момент оператор не может выполнить свои обязанности, он должен делегировать эти полномочия иному служащему фирмы с составлением и подписанием официального приказа. 

В таком приказе указывается обязательство обеспечения абсолютной конфиденциальности и безопасности хранимых ПДн.

Кто имеет право использования персональных данных

Федеральный закон установил перечень лиц, которые могут производить действия с конфиденциальными данными сотрудников:

  • сотрудник, назначенный на должность оператора ПДн;
  • заместитель директора по административной работе;
  • HR-менеджер;
  • начальник кадрового отдела.

Однако остальные сотрудники компании, также периодически сталкиваются с личными сведениями работников при работе с документами. Это бухгалтеры, секретари специалисты по ведению баз данных, специалисты по работе с персоналом.

Все должностные лица предприятия, которые осуществляют обработку ПДн сотрудников, обязаны обеспечить сохранностьдокументов, в которых ведется учет кадров, графиков выплат заработной платы, рабочих смен и прочих кадровых сведений.

Ограничение времени хранения ПДн

Законодательство Российской Федерации предусматривает, что хранение персональных сведений не должно осуществляться дольше того времени, которое отведено на достижение целей, для которых они обрабатывались.

В некоторых случаях это время устанавливается самим субъектом ПДн либо законодательством.

Во всех остальных случаях оператор определяет и устанавливает срок нахождения данных в базе, а также условия для их удаления (прекращения использования).

Законом предусмотрено право выбора одного из этих условий: либо установить период хранения, либо установить факт прерывания обработки после наступления определенного обстоятельства. Выбор варианта зависит напрямую от вида деятельности организации. Например, для составления статистических отчетов в конце года данные больше не понадобятся, поэтому они должны быть уничтожены.

Медицинские заведения обязаны хранить ПДн длительный срок. Именно поэтому законодательство РФ позволяет выбирать операторам временные рамки либо конкретное событие для прекращения обработки имеющейся информации.

Но все-таки законом установлен срок, в пределах которого разрешено хранение ПДн. Поэтому все трудовые книжки и трудовые договоры, которые не забрал субъект, должны помещаться в специальный архив организации до их востребования. Если же документы больше не понадобятся – все равно их должны сохранять не менее 50 лет.

Где еще хранятся ПДн работников?

Система пенсионного страхования служащих также располагает данными о работниках. Документы с такой информацией должны храниться в структуре не менее 60 лет и обязательно соответствовать следующим критериям:

  • содержать сведения о личном счете застрахованного субъекта;
  • соответствовать определенной форме (обязательно письменной) и иметь подпись субъекта;
  • иметь свой электронный дубликат с соответствующей цифровой подписью владельца ПДн;
  • содержать все сведения о налогах и взносах, удержанных из заработной платы или иных выплат работнику в счет Пенсионного фонда;
  • подаваться руководителем предприятия в фонд социального страхования для ведения индивидуального учета граждан в системе соцстрахования.

Разрешение на использование ПДн

Непременным условием для обеспечения корректной работы со сведениями служащих является разрешение на их использование. Такое разрешение берется у субъекта ПДн оператором, в нем указываются период действия и срок отзыва этого разрешения.

Установить длительность действия разрешения можно двумя способами: обозначением конкретной даты или использованием фразы юридического характера: «Данное соглашение действует со дня его подписания и до момента отзыва этого решения».

Так сколько же все-таки должны храниться конфиденциальные сведения? данных в базе обеспечивается оператором на тот период, который необходим для использования ПДн.

Бывают ситуации, когда предприятие не использует данные непрерывно. В этом случае доступ к ним обеспечивается в любое время, когда они понадобятся. 

Также оператор обозначает конкретные действия, которые будут предприняты с ПДн по достижении конца срока их использования – обезличить или уничтожить. Обезличить информацию – значит изменить ее форму, которая не позволит распознать субъекта данных.

Обработка персональных материалов прямым образом связана с их хранением. И если использование ПДн завершается по достижении конкретной цели – оператор обязан дальше не хранить их. 

Нельзя указывать разные сроки или условия для прекращения хранения либо использования персональной информации. К примеру, когда срок хранения ПДн завершился, тоих обработка в дальнейшем проводиться не может и не должна.

Продление термина разрешения

В случае необходимости оператор может продлить срок обработки и хранения ПДн. Но для этого предприятие обязано выполнить определенные условия, изложенные в политике в отношении обработки персональных данных. Работник, чьи данные хранятся в базе, имеет право изучить этот документ.

Продление сроков использования ПДн разрешается федеральным законом только в том случае, если мотивы этих действий являются полностью законными, и если имеются веские основания для этого.

Предприятие, которое хранит ПДн сотрудников, имеет возможность выбрать автоматическое продление термина разрешения на обработку данных субъекта. При этом субъект в любое время имеет право разорвать данное разрешение.

Трудовое законодательство РФ обозначило конкретные нормы относительно сроков хранения и обработки персональных материалов трудящихся, однако само время хранения государство не устанавливает. Действует лишь одно требование – иметь доступ к данным не дольше, чем это требуется. 

Сведения о работниках предприятия обязательно прикрепляются к личному делу. Руководитель, в соответствии со ст. 87 Трудового кодекса, самостоятельно устанавливает порядок и процесс применения ПДн сотрудников. Но этот порядок ограничивается рамками законодательства РФ.

Особенности хранения бумажных документов

Информация на бумажных носителях должна храниться в сейфах предприятия. Если данные о сотрудниках обрабатываются в электронном виде – они находятся в базе данных на компьютере оператора, уполномоченного обеспечивать их безопасность.

Когда сотрудник уволен, его личное дело должно находиться в отделе кадров до окончания календарного года, после чего начальник отдела кадров проводит архивно-техническую обработку ПД и отправляет всю документацию об уволенных служащих в архив. 

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/hranenie-personalnyh-dannyh/srok-khraneniya-personalnykh-dannykh-rabotnika/

Неавтоматизированная обработка персональных данных в организации

Не персональные данные. Порядок обработки персональных данных сотрудника. Срок хранения персональных данных сотрудника

В этой статье речь пойдёт о правилах обработки персональных данных с участием человека.

Обработка персональных данных бывает:

  • автоматизированная – процесс обработки происходит посредством эксплуатации вычислительных средств;
  • неавтоматизированная – процесс обработки происходит с использованием человеческих ресурсов;
  • смешанная – интеграция в процессе обработки персональных данных вычислительных средств и человеческих ресурсов.

Правила неавтоматизированной обработки персональных данных закреплены в нормативном акте “ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”, утверждённом постановлением Правительства РФ №687 от 15 сентября 2008 г.

В этом положении применяются основные Принципы обработки персональных данных, указанные в статье 5 федерального закона №152-ФЗ от 27.07.2006 г. “О персональных данных”:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.5. и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Итак, подробнее о правилах неавтоматизированной обработки данных.

Организация неавтоматизированной обработки персональных данных

Обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка) – действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляемые при непосредственном участии человека.

Цитирую части положения о неавтоматизированной обработке ПДн:

4. Персональные данные при их обработке, осуществляемой без
использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).

Здесь указывается правило об особом режиме хранения материальных носителей содержащих персональные данные (ПДн).

5. При фиксации персональных данных на материальных носителях
не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не
совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Если собираются и обрабатываются ПДн в рамках одной цели, то для этих процессов должна быть предусмотрена отдельная форма на отдельном носителе.

6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

Речь идёт об указании должностных обязанностей и характера выполняемых работ в рамках трудовых отношений, на основании обязанностей трудового договора, должностных инструкций и других внутренних регулирующих документах.

Использование типовых форм документов, содержащих персональные данные

7.

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Ведение журналов, реестров, книг при организации пропускного режима

8.

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

О несовместимости целей обработки и уничтожении персональных данных

9.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).11. Правила, предусмотренные пунктами 9 и 10 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Обеспечение безопасности обработки персональных данных

13.

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.14. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Основные термины и определения, используемые при неавтоматизированной обработке персональных данных

Термины и определения содержатся в статье 3 федерального закона “О персональных данных”:

  • персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

В следующих статьях речь пойдёт о мерах по обеспечению сохранности персональных данных, исключении несанкционированного доступа к ПДн, о порядке принятия этих мер, и ответственности за их реализацию.

автор: юрист Демешин С.В.

Источник: https://zen.yandex.ru/media/info_law_society/neavtomatizirovannaia-obrabotka-personalnyh-dannyh-v-organizacii-5bf815edbddd2800abc11f9d

Хранение и использование персональных данных работников

Не персональные данные. Порядок обработки персональных данных сотрудника. Срок хранения персональных данных сотрудника
Энциклопедия МИП » Трудовые споры » Защита прав работников » Хранение и использование персональных данных работников

Чтобы обезопасить граждан от неправомерного использования личных данных трудовым законодательством разрабатываются специальные нормативные акты.

Трудовые отношения предусматривают составление специальной документации и заключение трудовых договоров, распоряжений и приказов. Обязательным условием для подписания данных бумаг является внесение достоверных личных данных сторон (инициалов, фактического адреса, сведений о рабочей квалификации, должностных обязанностях и др.).

Чтобы обезопасить граждан от неправомерного использования личных данных трудовым законодательством разрабатываются специальные нормативные акты, в которых регламентируется обработка, передача и защита информации о сотрудниках работодателем. Поэтому все работодатели обязаны соблюдать порядок хранения и использования персональных данных работников.

Хранение персональных данных работников

Специальное нормативное положение, в котором определяются правила по распоряжению личной информацией сотрудников работодателем, предусматривает соблюдение определенных требований:

  • конкретная форма, в которой хранятся личные данные сотрудников, должна соответствовать всем требованиям и полностью идентифицировать субъекта личной информации;
  • срок сохранения информации не должен превышать времени, которого будет достаточно для воплощения целей, в соответствии с которой требуется обработка;
  • данные необходимо уничтожать непосредственно после достижения всех целей, для которых была организована обработка информации;
  • информация должна быть удалена в случае отсутствия необходимости дальнейшей обработки и использования данных.

Обработка, передача и защита личных сведений сотрудников поручается ответственному оператору, который должен соблюдать все правила и специальное законодательное положение.

Если же по каким-либо причинам должностное лицо не может самостоятельно выполнять свои прямые обязанности, то он должен поручить обработку и защиту информационных данных иному сотруднику на основании официально заключенного договора.

Важнейшим условием данного документа является указание специальной обязанности, в соответствии с которой обеспечивается обработка, передача и защита личной информации при соблюдении конфиденциальности и полной безопасности. 

Кто имеет право обрабатывать и использовать персональные данные

Должностные лица, которые сталкиваются с обработкой и сохранением личной информации сотрудников, должны исполнять специальное положение. Подобные документы и правила составляются работодателем, а также чаще всего издаются в форме должностных инструкций, коллективных и индивидуальных трудовых договоров и др.

Положение или распоряжение включает правила защиты данных сотрудников, устанавливает перечень лиц, которым подлежит обработка и эксплуатация информации, срок обработки, основания и условия предоставления информации и др.    

Хранение и использование личной информации сотрудников входит в компетенцию должностных лиц, которые назначаются непосредственно работодателем.

В обязанности данных граждан входит соблюдение всех норм по обработке и распоряжению личными данными подчиненных.

Законодательными актами регламентируется срок, правила, а также перечень лиц на руководящих должностях, которые должны работать с личной информацией сотрудников:

  • главный специалист, который занимается защитой данных;
  • заместитель директора, в обязанности которого входит администрирование персоналом;
  • менеджер по управлению персоналом;
  • начальных отдела кадров.

На предприятиях и в компаниях обработка и сохранение личной информации также поручается рядовым работникам, например, бухгалтерам, инженерам по защите информации, управлению и подготовке кадров, документоводам, специалистам по защите данных и др.

Рядовые исполнительные должностные лица также сталкиваются с использованием и защитой информации в процессе выполнения своих обязанностей, например, секретари, референты, инспекторы и др., которые принимают заявления и различные документы.  

Порядок хранения персональных данных работников

Должностное лицо обязано соблюдать специальное положение, в котором регламентируется обработка, сохранение и защита личной информации, личных дел сотрудников. Правила и порядок эксплуатации должны соблюдаться стороной работодателей.  Данные лица должны обеспечить выполнение следующих функций:

  • составление и хранение первичной документации, которая издается в унифицированной форме;
  • сохранность бумаг, в которых ведется учет рабочих кадров;
  • хранение документации, в которой учитывается специфика распределения рабочего времени;
  • сохранность пакета документов, в котором ведется расчет об оплате труда рабочему персоналу.

Порядок и срок сохранения личной информации гражданских служащих определяет трудовое законодательство, а также специальное ведомственное положение.

Срок хранения

Специальное положение о сохранении и защите личной информации регламентирует срок, в пределах которого допускается использование и хранение личных данных.

Соответственно, трудовые книжки и дубликаты, которые не были забраны или в случае смерти работников, размещаются в активах предприятиях на срок до востребования.

Если же такие документы относятся к классу невостребованных бумаг, то они размещаются в архивах компаний на срок не менее пятидесяти лет.

Положение, в котором определяется специфика индивидуального учета в системе пенсионного страхования, устанавливает срок сохранения личных данных граждан работниками государственного пенсионного фонда.  Срок хранения таких бумаг составляет не менее шести лет. Данные документы должны соответствовать следующим требованиям:

  • содержать в себе какие-либо данные об индивидуальном счете лица, которое застраховано программой социального страхования;
  • быть оформлены в установленной письменной форме и заверены соответствующими подписями граждан;
  • быть представлены в электронной форме, так как юридическая сила таких документов должна подтверждаться электронной цифровой подписью, при условии соблюдения законной процедуры подписания;
  • содержать в себе данные о всех страховых взносах лиц и страховом стаже граждан;
  • предоставляться работодателями в государственные заведения по пенсионному страхованию с целью индивидуального учета граждан в общей системе обязательного страхования для предоставления социальных пенсий.  

Иные документы, которые содержат в себе данные о пенсионном страховании, хранятся в архивах пенсионных учреждений не мене трех лет. Соответствующие документы подлежат уничтожению, когда срок их хранения истекает.

В таком случае уничтожение бумаг возможно исключительно после факта ознакомления застрахованным лицом со всеми данными о лицевом счете и страховом стаже.

Акты, в которых указываются случаи расследований профессиональных заболеваний должны храниться не менее 75 лет в активах государственного учреждения, которое специализируется на санитарно-эпидемиологическом надзоре и вело дело о расследовании конкретного происшествия. Работодатели должны хранить следующие документы на протяжении 45 лет с копиями и материалами расследования:

  • акты о несчастных случаях на производстве;
  • акты о несчастных случаях, которые касаются группы лиц;
  • документы о расследовании тяжелого несчастного случая;
  • бумаги о несчастных случаях сл смертельным исходом и др.

Нормативные акты о защите данных

При разработке локальных нормативных актов, которые касаются защиты личной информации сотрудников, учитывается законодательное положение, а также специфика работы предприятия. В соответствующих нормативных актах регламентируются следующие положения:

  • перечень личной информации сотрудников, которые нужны работодателю для выполнения всех трудовых обязанностей;
  • список лиц, которые имеют право получать личные данные;
  • правила хранения, обработки, передачи, защиты и предоставления личной информации;
  • должностное лицо, которое имеет право хранить персональные данные сотрудников, а также осуществлять контроль за процессом сохранения информации.

Помимо обязанностей работодателя, нормативные акты включают перечень прав и обязанностей сотрудников, которые касаются необходимости предоставления достоверной информации, а также обеспечения надежного хранения данных и соблюдения конфиденциальности. 

Источник: https://advokat-malov.ru/zashhita-prav-rabotnikov/hranenie-i-ispolzovanie-personalnyh-dannyh-rabotnikov.html

5 шагов по организации учета и хранения персональных данных

Не персональные данные. Порядок обработки персональных данных сотрудника. Срок хранения персональных данных сотрудника

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1.  из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. 

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://School.Kontur.ru/publications/1583

О законе
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: