Рассказываем все, что эйчару следует знать о персональных данных сотрудников, их хранении, обработке и защите.

Что такое персональные данные и зачем их защищать

Согласно закону от 27.07.2006 № 152-ФЗ и статье 87 ТК РФ, компании должны гарантировать защиту персональных данных своим сотрудникам. Это значит, что доступ к личной информации людей не должны получить третьи лица.  

Начиная с февраля 2020 года, Роскомнадзор проводит плановые и внеплановые проверки компаний раз в два или три года. Обратите внимание на слово «плановые» – это значит, что о проверке компанию известят за три рабочих дня. Если у работодателя отсутствует положение о защите персональных данных, организации грозят санкции – штраф до 10 000 руб., меньшие штрафы – для должностных лиц.

Это, конечно, не такие большие деньги, особенно для крупных компаний. Однако дело не только в них, но и в престиже компании, доверии сотрудников к работодателю. Вряд ли работники обрадуются, если их персональные данные «утекут» на сторону.

К персональным данным относят личную информацию, которую сотрудник передает компании при трудоустройстве: ФИО, дата рождения, данные о семье, образовании и предыдущих местах работы, сведения о доходах и состоянии здоровья, контактные данные.

Работодатель не имеет права запрашивать у поступающего сотрудника любую информацию, какую только пожелает – только ту, которая имеет отношение к рабочим обязанностям. Закон запрещает уточнять, например, религиозные или политические взгляды человека. Предоставить их сотрудник может лишь по собственному желанию, подписав письменное согласие.

Итак, чтобы защитить персональные данные сотрудников, необходимо правильно собирать, хранить, использовать их. Для этого составляется положение о защите персональных данных сотрудников.

Как оформить положение

Положение о защите персональных данных – это внутренний локальный акт компании, который либо включают в перечень общих правил, либо издают отдельно. Для того чтобы оформить документ, предварительно нужно:

  • проанализировать, какой персональной информацией о сотрудниках обладает компания;
  • определить круг лиц, которые будут иметь доступ к информации (часто это бывают сотрудники кадрового отдела, HR-специалисты);
  • определить ответственных за сбор и хранение информации.

Установленного образца положения о персональных данных нет, но мы рекомендуем прописать:

  • основные понятия;
  • какие данные в компании относят к персональным;
  • какие действия совершают в компании с этими данными;
  • кто и как может получить доступ к данным;
  • какие действия по защите информации предпринимает компания;
  • места хранения носителей персональных данных;
  • санкции за несоблюдение положения.

Утвердить положение должен руководитель компании. Для этого издается приказ стандартного образца: с реквизитами документа, датами, упоминанием ответственных за исполнение лиц. Сотрудники должны быть ознакомлены с положением под роспись.

Нюансы

Согласно ч. 8 ст. 13.11 КоАП, хранить персональные данные российских граждан работодатели имеют право только на российских серверах. Этот пункт мы также рекомендуем внести в положение о защите персональных данных.

Кроме того, согласно закону № 152-ФЗ, персональные данные работника необходимо удалить (или обезличить) после того, как достигнута цель их получения и обработки. Обычно это происходит после ухода работника из компании, однако сроки хранения личной информации также можно предусмотреть в положении о защите персональных данных сотрудников.