Правильное и упорядоченное хранение документов с личной информацией - это гарантия того, что конфиденциальные данные о сотрудниках, клиентах и общей деятельности компании не попадут в руки третьих лиц. Закон возлагает ответственность за установление правил, мест хранения и защиты информации на работодателя, но не все полностью осознают, какие аспекты требуют внимания. Все осложняется постоянными дополнениями и изменениями в нормативно-правовых актах, которые необходимо отслеживать, чтобы избежать штрафов и не стать участником скандала, связанного с разглашением личной информации граждан.

Персональные данные - это любая информация, имеющая отношение к определенному или определяемому физическому лицу (субъекту персональных данных). Обычно эта информация позволяет идентифицировать конкретного человека.

Понятие подробно описано в Федеральном законе № 152-ФЗ, вступившем в силу 27 января 2006 года. Закон № 152-ФЗ относит к персональным данным любую информацию, которая прямо или косвенно относится к определенному или поддающемуся определению физическому лицу. Каждый гражданин имеет гарантированное право на конфиденциальность личной жизни, и государственные органы и третьи стороны не имеют права вмешиваться в эту сферу, если иное не предусмотрено законом. Субъект может сам решать, предоставлять ли ПДн, и рассчитывать на государственную защиту в случае нарушения его прав. Формы согласия на получение и обработку данных могут быть разными, например, письменное заявление или галочка в онлайн-форме. В ФЗ-152 подробно указано, кто имеет право на получение персональной информации помимо ее владельца и на каких условиях. Операции с личными данными с разрешения субъекта могут выполнять работодатель, финансовая организация, интернет-магазин и другие.

Специальные требования в отношении работы с ПДн действуют, если:

· информация составляет государственную тайну;

· происходит урегулирование личных и семейных вопросов, при этом права других лиц не ущемляются;

· речь идет об архивных сведениях;

· есть судебный акт об их предоставлении.

Что делать с персональными данными кандидата

Компания начинает собирать персональные данные кандидатов уже на этапе просмотра резюме. Она может хранить резюме в специальных программах, печатать их, сохранять контакты для дальнейшего взаимодействия и так далее. В резюме, как правило, представлен широкий спектр персональных данных - от номера телефона до информации об образовании и прошлых местах работы.

Роскомнадзор предупреждает, что обработка персональных данных кандидатов подразумевает получение соответствующего разрешения от них. Это разрешение должно быть оформлено на период принятия решения о принятии или отказе в принятии на работу. Однако есть и исключения из этого правила, когда такое разрешение не требуется:

- если от имени кандидата действует кадровое агентство, с которым он заключил договор;

- при самостоятельном размещении резюме в Интернете.

В разрешении необходимо обязательно указать цель получения персональных данных - рассмотрение кандидата на свободную должность. Можно использовать образец согласия на обработку персональных данных. Если работодатель получает резюме кандидата по электронной почте, он должен дополнительно провести действия, подтверждающие, что резюме было отправлено самим кандидатом. Это может быть, например, приглашение кандидата на собеседование или ответ.

Хранение персональных данных работников

Согласно ТК РФ, работодатель обязан обеспечить сохранность документов с персональной информацией, защитив ее от неправомерного использования, а сами документы - от утраты.

Общие правила хранения:

1. Документы необходимо разместить в отдельном помещении с сейфами и запираемыми шкафами. В несгораемые сейфы размещают трудовые книжки, в шкафы - личные карточки, приказы, справки и прочие документы.

2. Доступ к документам должен быть ограничен. Работать с ними может только уполномоченное лицо и сам сотрудник, чьи данные хранятся у работодателя. Другие лица получают доступ только по письменному разрешению или для решения конкретной задачи.

3. Работодатель должен установить требования к получению и использованию данных. Эти требования не должны нарушать ТК РФ и конституционные права. Так, их нельзя передавать без согласия сотрудника, использовать в личных целях и т.д.

4. С данными требованиями должны быть ознакомлены все лица, допущенные к работе с персональными данными под роспись.

Хранить любые копии личной документации сотрудников небезопасно. Об этом свидетельствуют актуальные судебные решения. Если вы все еще храните копии личной документации в личных делах сотрудников, вам следует получить их согласие на обработку и хранение их личных данных. Уволенные сотрудники не дают согласия - копии должны быть уничтожены.

В соответствии с Федеральным Законом от 27 июля 2006 г. № 152-ФЗ копии личных документов сотрудника - паспорт, СНИЛС, диплом об образовании и прочие - после увольнения сотрудника должны быть уничтожены компанией-работодателем, если иное не указано в отдельном соглашении.

Таким образом, когда цель обработки личных данных достигнута, оператор обязан прекратить обработку и уничтожить данные в течение 30 дней со дня достижения этой цели, если другое не предусмотрено договором, в котором участвует субъект персональных данных, или отсутствует согласие субъекта на обработку его персональных данных на основаниях, предусмотренных Федеральным Законом от 27 июля 2006 г. №152 или другими федеральными законами.

С 1 марта 2023 года компании должны документировать процесс уничтожения персональных данных. Помимо составления акта, который ранее рекомендовался, но не был обязательным, при уничтожении данных, которые были обработаны не только на бумаге, но и в электронном виде, необходимо также подтвердить факт уничтожения данных с помощью выгрузки из журнала регистрации событий информационной системы.