Как правильно работать с персональными данными: передача, хранение и уничтожение

Все большее число компаний переходят на программы кадрового электронного документооборота (КЭДО), которые способствуют повышению эффективности работы кадровых служб, сокращению затрат, улучшению точности и доступности данных, соблюдению требований законодательства. Они также помогают организациям сфокусироваться на стратегических задачах и обеспечить более эффективное управление персоналом.
Как правильно работать с персональными данными: передача, хранение и уничтожение
Иллюстрация: Вера Ревина/Клерк.ру

Одна из особенностей программ КЭДО в  том, что они содержат персональные данные сотрудников. Что происходит с этой информацией и как она передается, хранится и уничтожается? Рассмотрим все аспекты обработки персональных данных: от законодательных норм до обеспечения безопасности.

Какие данные считаются персональными и каковы определяющие их характеристики

Согласно закону № 152-ФЗ «О персональных данных», под такими данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Поскольку законодательство не приводит какого-либо перечня сведений, относимых к категории персональных данных, исходя из особенностей обработки отдельных категорий можно выделить следующие группы: 

  • Общие персональные данные. Сообщают ключевую информацию о субъекте: ФИО, дата рождения, адрес (регион, город, улица, дом, квартира), паспортные сведения, образование, место работы, уровень дохода и т.д. Если использовать их по отдельности, то нельзя говорить о том, что это сведения, относящиеся к ПД, поскольку идентифицировать личность, например, по одной только фамилии невозможно. В категорию персональных данных они попадают в комбинированном варианте: например, ФИО в сочетании с местом регистрации.

  • Биометрические. Позволяют определить биологические и физиологические отличительные черты конкретного физического лица, которые могут использоваться для установления его личности. Например, отпечатки пальцев, ДНК человека, радужная оболочка глаз, индивидуальные анатомические особенности.

  •  Специальные. Персональные данные, присутствующие в личных делах, медицинских книжках, закрытых реестрах, информация о судимости, расовой и национальной принадлежности и так далее.

  • Иные персональные данные. Сведения, которые нельзя отнести к общим, биометрическим или специальным. Принадлежность к определенной социальной группе (например, членство в клубе) или корпоративные данные (то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и другое). 

Какие законы и нормативные акты регулируют обработку персональных данных и какие требования они накладывают на организации

Основной закон, регулирующий работу с персональными данными в России, — закон от 27.07.2006 г. № 152-ФЗ «О персональных данных». Он касается обработки, хранения и доступа к такой информации. Например, в статье 19 этого закона описываются конкретные меры безопасности и защиты для обеспечения конфиденциальности персональных данных во время их хранения.

При обработке персональных данных следует обязательно принимать необходимые организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования и распространения, а также от иных неправомерных действий.

Помимо закона, можно выделить следующие нормативные акты в области персональных данных:

Какие принципы обработки персональных данных следует соблюдать, чтобы обеспечить их конфиденциальность и защиту

Обработка персональных данных не может осуществляться произвольно. Так, в статье 5 закона № 152-ФЗ описаны следующие важные принципы:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка информации, несовместимая с целями сбора ПД.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только информация, которая отвечают целям их обработки.

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены их точность и достаточность, а в необходимых случаях и актуальность по отношению к целям обработки. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки, если срок хранения информации не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые сведения подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.

Кстати, подобные принципы  можно отнести и к сбору персональных данных, их использованию и уничтожению.

Какие категории лиц имеют право на доступ к персональным данным и какие ограничения могут быть установлены для этого доступа

Согласно статье 88 ТК, работодатель разрешает доступ к персональным данным работников только специально уполномоченным лицам. При этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

Какие ситуации и условия позволяют передавать персональные данные третьим лицам

При передаче данных сотрудников третьим лицам необходимо соблюдать требования Трудового кодекса и Закона о персональных данных.

Работодатель обязан «не сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законом» (ст. 88 ТК).

Работодатель должен получить от работника письменное согласие на передачу его ПД третьему лицу. Если работник не дал своего согласия, передача его персональных данных третьему лицу невозможна.

Но есть исключения: передача данных в СФР, налоговые органы, по мотивированному запросу органов прокуратуры и внутренних дел, по запросу суда и т.д. Не нужно брать согласие работника и в случаях, связанных с исполнением им своих должностных обязанностей, в том числе при направлении работника в командировку. Например, когда нужно купить авиабилеты.

Какие могут быть последствия нарушения правил обработки и защиты персональных данных и каковы штрафы или наказания для нарушителей

Ни одна законодательная инициатива даже после официального принятия документа на федеральном уровне не будет эффективной, если не предусмотрено наказание за неисполнение или некорректное выполнение установленных требований.

Статья 24 закона № 152-ФЗ «О персональных данных» прямо определяет виды ответственности. Так, лица, виновные в нарушении требований этого закона несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.

Например, УК предусматривает наказание по ст. 137, 140 и 272. КоАП включает наказание по ст. 5.39, 13., 13.12, 13.13 и 13.14.

Какие процедуры и сроки должны соблюдаться при уничтожении персональных данных и как обеспечить их удаление

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе ПД и (или) в результате которых уничтожаются материальные носители информации.

В следующих статьях закона № 152-ФЗ содержится подробная информация по этому вопросу: 

  • Статья 5. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.

  • Статья 14. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

  • Статья 20. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить эти сведения.

  • Статья 21. Описывает круг обязанностей по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.Также в данной статье прописываются сроки уничтожения в зависимости от оснований для прекращения обработки персональных данных. 

Какие технологии и практики помогут организациям соблюдать требования по обработке, передаче, хранению и уничтожению персональных данных

Чтобы организация была защищена от привлечения к ответственности:

1. Разработайте Политику конфиденциальности — этот документ снизит риски и будет путеводителем в мир персональных данных;

2. Получите согласие физического лица или сотрудника на обработку персональных данных.

3. Обучите сотрудников правилам обработки, передачи, хранения и уничтожения персональных данных, чтобы повысить их осведомленность в соблюдении политики безопасности.

4. Внедрите систему аутентификации и установите правила доступа к данным, что поможет предотвратить несанкционированный доступ и использование персональных данных.

5. Примите технические меры по безопасности ПД. Регулярно обновляйте программное обеспечение и системы безопасности, чтобы вовремя обнаруживать и предотвращать уязвимости, которые могут быть использованы злоумышленниками для несанкционированного доступа к информации.

6. Регулярно создавайте резервные копии персональных данных и проверяйте их восстановление, чтобы предотвратить потерю информации из-за сбоев или атак.

7. Проводите периодический аудит безопасности и проверку систем для выявления уязвимостей, оценки эффективности мер безопасности и принятия мер в случае нарушений.

Отметим, что согласия на обработку персональных данных можно эффективно собирать с помощью КЭДО — кадрового электронного документооборота. Благодаря КЭДО можно также вести кадровый учет онлайн, готовить документы и отправлять их на подпись сотрудникам без бумажных носителей и личных встреч.

Эти технологии и практики являются лишь некоторыми из способов, которые помогут организациям обеспечить безопасность персональных данных и соблюдать требования законодательства. Важно разработать комплексный подход, учитывающий конкретные потребности и особенности каждой организации.

Ознакомиться с текстом и вникнуть в содержание закона № 152-ФЗ — одна из первоочередных задач для любого, кто планирует работать с персональными данными субъектов. В документе есть детальные разъяснения о том, как хранить, собирать, копировать, блокировать и уничтожать персональные данные.

Начать дискуссию