РОСКОМ СЕРВИС – ПОРТАЛ ПО РЕГИСТРАЦИИ ЮРИДИЧЕСКИХ ЛИЦ И ИП В РОСКОМНАДЗОРЕ И ПОДГОТОВКЕ ДОКУМЕНТОВ ПО 152 ФЗ.
Обеспечиваем выполнение 152 ФЗ “О персональных данных”
8 (800) 301-76-89
info@roskom-service.ru
Наши эксперты вас проконсультируют
Просмотров: 30

Персональные данные сотрудников: как хранить и обрабатывать

Дарья Кокорикова
Основатель сервиса
Дарья Кокорикова

ФЗ от 27.07.2006 №152-ФЗ задает границы, в которых работодатель может работать с персональными данными сотрудников. Он исходит из того, что любые сведения о человеке относятся к его частной жизни и должны быть защищены. Поэтому использовать их можно только в строго определенных целях и в связке с требованиями Трудового кодекса РФ, который дополнительно ограничивает объем и ряд действий с данными.

Какие данные можно брать у сотрудников

Персональные данные (ПДн) — это информация, по которой можно идентифицировать конкретного человека. Например, ФИО, дата рождения, паспортные данные, номер телефона, адрес, ИНН, СНИЛС, трудовая история и другие сведения, которые могут относиться к конкретному работнику. 

Работодатель вправе собирать и обрабатывать только те данные сотрудников, которые необходимы для исполнения трудового договора и соблюдения требований закона. Этим руководствуется как ФЗ № 152‑ФЗ, так и Трудовой кодекс РФ (например, для ведения кадрового учета и бухгалтерии). 

Например, работодателям чаще всего требуются: 

  • идентификационные сведения: ФИО, дата рождения и т.д.;
  • контактные данные: телефон, электронная почта, адрес;
  • документы, подтверждающие образование, квалификацию;
  • документы для налоговых и пенсионных целей: ИНН, СНИЛС;
  • сведения, необходимые для медицинских справок о допуске к работе (в объеме, предусмотренном законом). 

Важно! Работодатель не может собирать данные просто так или «про запас». Все данные должны соответствовать категории субъектов ПДн (сотрудники) и целям обработки. Так, нельзя запрашивать сведения об имущественном положении менеджера, а вот если сотрудник является госслужащим, он сам обязан предоставлять такую информацию (ст.8 ФЗ от 25.12.2008 №273-ФЗ). 

Правила обработки персональных данных сотрудников

Под обработкой ПДн сотрудников подразумевается сбор, запись, хранение, изменение, передача, удаление и другие действия, предусмотренные ст.3 ФЗ №152-ФЗ.  

Важно, чтобы обработка была:

  • законной и справедливой;
  • ограниченной конкретными, заранее определенными целями;
  • соразмерной целям (не больше данных, чем нужно);
  • аккуратной и актуальной.

Работодатель должен четко понимать, зачем ему нужны персональные данные сотрудников, и использовать их только для этих целей. В обычной работе это означает соблюдение закона и сдачу отчетности, обучение и развитие сотрудников, заботу о безопасности людей и имущества, учет рабочего времени и выплату зарплаты.

Важно! По закону отдельное согласие на обработку персональных данных сотрудника не требуется, если данные необходимы для исполнения трудового договора и соблюдения закона.

Кто должен соблюдать закон о персональных данных

Требования ФЗ №152-ФЗ распространяются не только на саму организацию-работодателя, но и на всех, кто имеет доступ к персональным данным сотрудников организации. Это:

  • HR и кадровые работники, бухгалтеры — они заполняют и хранят документы;
  • руководители отделов — имеют доступ к данным по подчиненным;
  • IT‑специалисты, администраторы — обеспечивают технические средства обработки;
  • третьи лица, с которыми заключены договоры на обработку данных (например, банки при выплате зарплаты).

Закон распространяется и на персональные данные бывшего сотрудника: носители с ними нельзя выбрасывать сразу после увольнения, их нужно хранить в архиве 50 лет.

Как хранить и использовать персональные данные сотрудников

Меры защиты, которые обязан обеспечить работодатель, указаны в ст.19 ФЗ №152-ФЗ:

  • назначить ответственного за обработку персональных данных сотрудников;
  • предоставить доступ к данным только уполномоченным лицам;
  • использовать технические средства защиты: шифрование, пароли, локальные сети и т.д.;
  • документировать процессы обработки и хранения;
  • периодически проверять актуальность и точность данных;
  • уничтожать ПДн по достижении цели обработки или по истечении сроков хранения

Можно ли передавать данные сотрудников

Передавать данные третьим лицам можно, но под строгими условиями (ст.88 ТК РФ). В большинстве случаев понадобится согласие сотрудника, но иногда оно не нужно:

  • данные передаются по запросу госорганов или судов в рамках их полномочий;
  • ПДн направляются в военкомат для учета или в другие учреждения, куда оператор обязан их предоставлять по закону. 

Права сотрудников при обработке персональных данных работодателем

Сотрудник имеет право (ст.89 ТК РФ):

Получать полную информацию о своих ПДн и способах их обработки.

  1. Иметь свободный доступ к своим данным, включая возможность получения копий любых записей.
  2. Требовать исправления ошибок или удаления данных, если их обработка нарушает закон.
  3. Назначать представителей для защиты своих прав.
  4. Обращаться в суд или к контролирующим органам при нарушениях.

Ответственность работодателя за нарушения

Нарушение правил обработки персональных данных сотрудника влечет за собой различного рода ответственность. Так, работника, допущенного к ПДн и совершившего нарушение, могут привлечь к дисциплинарной и материальной ответственности. Организацию-работодателя могут привлечь по ст.13.11 КоАП РФ, где штрафы в некоторых случаях достигают 500 млн рублей.

Кроме того, работодатель может быть привлечен к гражданско-правовой ответственности, включая обязанность компенсировать вред, причиненный сотруднику нарушением требований о персональных данных (ст.24 ФЗ №152-ФЗ). В отдельных случаях, особенно при грубых правонарушениях, когда данные привели к значительному ущербу, наступает уголовная ответственность.

Чек-лист по работе с ПДн сотрудников

  1. Определите цели обработки данных — используйте их только для законных и заранее определенных задач: например, ведение кадрового и бухгалтерского учета (обязательно для всех организаций), исполнение обязательств по договору и т.д.
  2. Собирайте только необходимые данные, которые нужны вам для выполнения обязательств перед работником и госучреждениями. 
  3. Ограничьте доступ — уполномоченные лица получают только те данные, которые необходимы для выполнения своих функций.
  4. Используйте технические и организационные меры защиты — шифрование, пароли, локальные сети, контроль доступа, хранение архивов в защищенном виде.
  5. Документируйте обработку данных — регистрируйте, какие данные собираются, где и как хранятся, кто имеет к ним доступ.
  6. Храните данные бывших сотрудников — соблюдайте сроки хранения и защищайте архивы от несанкционированного доступа.
  7. Регулярно проверяйте процессы на соответствие ФЗ № 152‑ФЗ и другим законам, уточняйте актуальность данных.

Задайте вопрос

В ближайшее время свяжется специалист для уточнения всех деталей

Обязательно отметьте поля ниже *