Как правильно работать с персональными данными: передача, хранение и уничтожение

Все большее число компаний переходят на программы кадрового электронного документооборота (КЭДО), которые способствуют повышению эффективности работы кадровых служб, сокращению затрат, улучшению точности и доступности данных, соблюдению требований законодательства. Они также помогают организациям сфокусироваться на стратегических задачах и обеспечить более эффективное управление персоналом.
Как правильно работать с персональными данными: передача, хранение и уничтожение
Иллюстрация: Вера Ревина/Клерк.ру

Одна из особенностей программ КЭДО в  том, что они содержат персональные данные сотрудников. Что происходит с этой информацией и как она передается, хранится и уничтожается? Рассмотрим все аспекты обработки персональных данных: от законодательных норм до обеспечения безопасности.

Какие данные считаются персональными и каковы определяющие их характеристики

Согласно закону № 152-ФЗ «О персональных данных», под такими данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Поскольку законодательство не приводит какого-либо перечня сведений, относимых к категории персональных данных, исходя из особенностей обработки отдельных категорий можно выделить следующие группы: 

  • Общие персональные данные. Сообщают ключевую информацию о субъекте: ФИО, дата рождения, адрес (регион, город, улица, дом, квартира), паспортные сведения, образование, место работы, уровень дохода и т.д. Если использовать их по отдельности, то нельзя говорить о том, что это сведения, относящиеся к ПД, поскольку идентифицировать личность, например, по одной только фамилии невозможно. В категорию персональных данных они попадают в комбинированном варианте: например, ФИО в сочетании с местом регистрации.

  • Биометрические. Позволяют определить биологические и физиологические отличительные черты конкретного физического лица, которые могут использоваться для установления его личности. Например, отпечатки пальцев, ДНК человека, радужная оболочка глаз, индивидуальные анатомические особенности.

  •  Специальные. Персональные данные, присутствующие в личных делах, медицинских книжках, закрытых реестрах, информация о судимости, расовой и национальной принадлежности и так далее.

  • Иные персональные данные. Сведения, которые нельзя отнести к общим, биометрическим или специальным. Принадлежность к определенной социальной группе (например, членство в клубе) или корпоративные данные (то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и другое). 

Какие законы и нормативные акты регулируют обработку персональных данных и какие требования они накладывают на организации

Основной закон, регулирующий работу с персональными данными в России, — закон от 27.07.2006 г. № 152-ФЗ «О персональных данных». Он касается обработки, хранения и доступа к такой информации. Например, в статье 19 этого закона описываются конкретные меры безопасности и защиты для обеспечения конфиденциальности персональных данных во время их хранения.

При обработке персональных данных следует обязательно принимать необходимые организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования и распространения, а также от иных неправомерных действий.

Помимо закона, можно выделить следующие нормативные акты в области персональных данных:

Какие принципы обработки персональных данных следует соблюдать, чтобы обеспечить их конфиденциальность и защиту

Обработка персональных данных не может осуществляться произвольно. Так, в статье 5 закона № 152-ФЗ описаны следующие важные принципы:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка информации, несовместимая с целями сбора ПД.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только информация, которая отвечают целям их обработки.

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены их точность и достаточность, а в необходимых случаях и актуальность по отношению к целям обработки. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки, если срок хранения информации не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые сведения подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.

Кстати, подобные принципы  можно отнести и к сбору персональных данных, их использованию и уничтожению.

Какие категории лиц имеют право на доступ к персональным данным и какие ограничения могут быть установлены для этого доступа

Согласно статье 88 ТК, работодатель разрешает доступ к персональным данным работников только специально уполномоченным лицам. При этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

Какие ситуации и условия позволяют передавать персональные данные третьим лицам

При передаче данных сотрудников третьим лицам необходимо соблюдать требования Трудового кодекса и Закона о персональных данных.

Работодатель обязан «не сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных законом» (ст. 88 ТК).

Работодатель должен получить от работника письменное согласие на передачу его ПД третьему лицу. Если работник не дал своего согласия, передача его персональных данных третьему лицу невозможна.

Но есть исключения: передача данных в СФР, налоговые органы, по мотивированному запросу органов прокуратуры и внутренних дел, по запросу суда и т.д. Не нужно брать согласие работника и в случаях, связанных с исполнением им своих должностных обязанностей, в том числе при направлении работника в командировку. Например, когда нужно купить авиабилеты.

Какие могут быть последствия нарушения правил обработки и защиты персональных данных и каковы штрафы или наказания для нарушителей

Ни одна законодательная инициатива даже после официального принятия документа на федеральном уровне не будет эффективной, если не предусмотрено наказание за неисполнение или некорректное выполнение установленных требований.

Статья 24 закона № 152-ФЗ «О персональных данных» прямо определяет виды ответственности. Так, лица, виновные в нарушении требований этого закона несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.

Например, УК предусматривает наказание по ст. 137, 140 и 272. КоАП включает наказание по ст. 5.39, 13., 13.12, 13.13 и 13.14.

Какие процедуры и сроки должны соблюдаться при уничтожении персональных данных и как обеспечить их удаление

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе ПД и (или) в результате которых уничтожаются материальные носители информации.

В следующих статьях закона № 152-ФЗ содержится подробная информация по этому вопросу: 

  • Статья 5. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.

  • Статья 14. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

  • Статья 20. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить эти сведения.

  • Статья 21. Описывает круг обязанностей по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных.Также в данной статье прописываются сроки уничтожения в зависимости от оснований для прекращения обработки персональных данных. 

Какие технологии и практики помогут организациям соблюдать требования по обработке, передаче, хранению и уничтожению персональных данных

Чтобы организация была защищена от привлечения к ответственности:

1. Разработайте Политику конфиденциальности — этот документ снизит риски и будет путеводителем в мир персональных данных;

2. Получите согласие физического лица или сотрудника на обработку персональных данных.

3. Обучите сотрудников правилам обработки, передачи, хранения и уничтожения персональных данных, чтобы повысить их осведомленность в соблюдении политики безопасности.

4. Внедрите систему аутентификации и установите правила доступа к данным, что поможет предотвратить несанкционированный доступ и использование персональных данных.

5. Примите технические меры по безопасности ПД. Регулярно обновляйте программное обеспечение и системы безопасности, чтобы вовремя обнаруживать и предотвращать уязвимости, которые могут быть использованы злоумышленниками для несанкционированного доступа к информации.

6. Регулярно создавайте резервные копии персональных данных и проверяйте их восстановление, чтобы предотвратить потерю информации из-за сбоев или атак.

7. Проводите периодический аудит безопасности и проверку систем для выявления уязвимостей, оценки эффективности мер безопасности и принятия мер в случае нарушений.

Отметим, что согласия на обработку персональных данных можно эффективно собирать с помощью КЭДО — кадрового электронного документооборота. Благодаря КЭДО можно также вести кадровый учет онлайн, готовить документы и отправлять их на подпись сотрудникам без бумажных носителей и личных встреч.

Эти технологии и практики являются лишь некоторыми из способов, которые помогут организациям обеспечить безопасность персональных данных и соблюдать требования законодательства. Важно разработать комплексный подход, учитывающий конкретные потребности и особенности каждой организации.

Ознакомиться с текстом и вникнуть в содержание закона № 152-ФЗ — одна из первоочередных задач для любого, кто планирует работать с персональными данными субъектов. В документе есть детальные разъяснения о том, как хранить, собирать, копировать, блокировать и уничтожать персональные данные.

🔍 Узнайте то, чего нет в интернете!

💼 Главбух на УСН
Экспертные лайфхаки и методы, проверенные практикой.
💰 Цена: 4 500 ₽ 15 950 ₽
Подробнее

📊 ОСНО: налоговая отчетность
Тонкости отчетности от ведущих специалистов.
💰 Цена: 4 200 ₽ 15 990 ₽
Подробнее

🎓 Профессия бухгалтер с нуля
Секреты профессионалов для старта карьеры.
💰 Цена: 4 900 ₽ 19 900 ₽
Подробнее

🚀 Знания, которые вы не "нагуглите"! Начните обучение сейчас!

Каталог курсов

Начать дискуссию


Похожие материалы

В сервис кадрового ЭДО на «Работе России» добавят систему защиты от нарушений и ошибок

В рамках нацпроекта «Кадры» Роструд разработает систему, которая поможет работодателям избежать нарушений в сфере трудовых отношений.

Кадры

До 2030 года в РФ нужно заместить больше 10 млн рабочих мест

Чтобы заменить сотрудников, которые уйдут на пенсию, нужно 10,1 млн новых работников.

НДС

Арбитражный суд поддержал налогоплательщика и ограничил налоговый контроль

Налоговые органы не вправе дублировать проверки по уже изученным данным, если новые нарушения не доказаны.

Курсы повышения
квалификации

22
Официальное удостоверение с занесением в госреестр Рособрнадзора

В РСПП просят отменить ограничение на перенос убытков прошлых лет

Чтобы снизить нагрузку по налогу на прибыль, предприниматели хотят снять ограничение в 50% по учету убытков прошлых лет.

Зарплата

Если зарплата на испытательном сроке меньше чем в трудовом договоре. Минтруд ответил, можно ли так

Работодателям запрещено снижать уровень оплаты труда в этот период, даже если работник только проходит проверку-испытание на соответствие должности.

Депутаты хотят конфисковать имущество родственников коррупционеров

Родственники чиновников могут остаться без имущества, если коррупционер откажется сотрудничать со следствием и принимал участие в преступной группировке.

Гражданин РФ, являясь ИП УСН Доходы, более полугода проживает за пределами РФ

Существуют ли лимиты по доходам ИП УСН Доходы для нерезидентов, после которых повышается налоговая ставка?

Эксперт:

Надежда Камышева

Надежда Камышева
Эксперт

Добрый день.

Для УСН нет разделения на резидентов и нерезидентов. Этот термин используется только в главе по НДФЛ.
Так что ставки обычные

Изменились контрольные соотношения для ЕНП-уведомлений. ⚡«Ночной бухгалтер» № 1873

Из-за появления новой шкалы по НДФЛ, точнее новых КБК, налоговики изменили контрольные соотношения для уведомлений. Пока изменения в Приказ ФНС не внесены, нужно применять обновленные КС из письма.

Иллюстрация: создано с помощью ИИ OpenAI © Вера Ревина/Клерк.ру
Майнинг

Отчет о майнинге цифровой валюты можно подать только одним способом

ФНС спросили, можно ли подать отчет о полученной цифровой валюте через личный кабинет налогоплательщика.

⚡️ Итоги дня: в декрет разрешат уйти на любом сроке беременности, Николаев подает в суд за фразу «Выпьем за любовь», заемщики чаще уходят на кредитные каникулы

Подготовили обзор главных событий дня — 18 февраля 2025 года. Все самое интересное, что писали и обсуждали в сети, в одной подборке.

Куда сходить в Москве после VII Всероссийской бухгалтерской конференции «БухВесна-2025»?

Куда сходить и что посмотреть в Москве 13 — 16 марта, после VII Всероссийской бухгалтерской конференции «БухВесна-2025». Собрали для вас культурно-просветительские идеи, а еще предлагаем эксклюзивную вечеринку в кругу редакции. Покупайте билет и забирайте идеи в закладки. Классных мест осталось уже немного.

Куда сходить в Москве после VII Всероссийской бухгалтерской конференции «БухВесна-2025»?
16
Обучение для бухгалтеров

Научим вести учет для селлеров на УСН и проходить налоговые проверки успешно на обновленных курсах

В 2025 году упрощенцы стали плательщиками НДС, теперь они рассчитывают налог, заполняют новые декларации по УСН и НДС — все это нужно учитывать бухгалтерам, которые работают с селлерами на УСН. О том, как проходить налоговые проверки, избежать обвинений в дроблении и правильно вести учет расчетов для продавцов с пониженными ставками, расскажем на курсах.

Научим вести учет для селлеров на УСН и проходить налоговые проверки успешно на обновленных курсах
Новости ФНС

📧 Налоговики высылают работодателям сведения о налоговых долгах сотрудников

Региональное УФНС уведомляет работодателей о налоговых задолженностях их сотрудников, стимулируя тем самым должников к погашению долгов.

НДС на УСН

При НДС-льготе по статье 149 НК на УСН все-таки нужна декларация НДС

Если доход организации на УСН за 2024 год превысил 60 млн рублей, она должна платить НДС. Но если услуги – необлагаемые по статье 149 НК, то НДС не будет.

5

Отчитаться о зарубежных активах нужно до 30 апреля 2025

Физическим лицам, владеющим долей в иностранных компаниях, необходимо до 30 апреля 2025 года включительно подать уведомление о контролируемых иностранных компаниях (КИК). Даже нулевая прибыль или отсутствие операций не освобождают от обязанности отчитаться — нарушение грозит штрафами до 500 тысяч рублей.

💰 В 2025 году можно заработать в сфере децентрализованных финансов. Финтех-эксперт объяснил как

С внедрением цифрового рубля может стать популярным направление децентрализованных финансов или DeFi. О том, что это такое и как можно заработать на этих процессах, рассказал эксперт Роман Тихонов.

Пять практических советов бухгалтеру по подготовке и сдаче отчетности при работе с госконтрактами

Работая с государственными (муниципальными) заказчиками, недостаточно лишь выполнить госзаказ, необходимо еще и обеспечить правильный бухгалтерский и налоговый учет при работе с госконтрактами, а при выполнении гособоронзаказа еще и составлять специальную отчетность.

Пять практических советов бухгалтеру по подготовке и сдаче отчетности при работе с госконтрактами

Необычная вакансия для бухгалтера: Банк Точка ищет автора — эксперта в бухгалтерии

Бухгалтер — профессия очень многогранная, можно не только вести учет, но и помогать в нем разобраться коллегам. Создавайте собственные курсы, ведите блог или станьте автором экспертных статей. Последних, кстати, как раз ищет Банк Точка. Экспертам предлагают рассказывать о налогах простым и понятным языком.

Если сотрудник во время отпуска проходил медкомиссию в военкомате, отдых продлевается

Ситуация: во время отпуска работника вызвали повесткой в военкомат для прохождения медицинского обследования и уточнения данных для воинского учета. На это ушло 3 дня.

НДФЛ

🙏 РСПП просит индексировать шкалу НДФЛ и ввести семейное налогообложение. Шансы оценивает налоговый юрист

Чтобы налоговая нагрузка не росла из-за инфляции, в РСПП предложили индексировать лимиты по доходам для НДФЛ на индекс-дефлятор, который зависит от роста цен.

Интересные материалы

Эффективность бизнес-проекта можно рассчитать по трем показателям

Чтобы лучше управлять бизнесом, находить точки роста и увеличить чистую прибыль, стоит составить финансовую модель, в которой отразятся все показатели компании.