Правила сбора, обработки и хранения персональных данных регламентированы законодательством РФ. Какие сведения относятся к персональным, в каких документах организации они содержатся и как долго нужно их хранить, расскажем далее в нашей статье.
Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу. (ст. 3 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ). К ним относятся:
• фамилия, имя, отчество;
• пол, возраст;
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
• место жительства;
• семейное положение;
• наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и так далее);
• финансовое положение, в том числе, сведения о заработной плате (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
• деловые и иные личные качества, которые носят оценочный характер;
• фотография, используемая для установления личности (письма Роскомнадзора от 10.02.2020 № 08АП-6782, Минцифры РФ от 17.07.2020 № ОП-П24-070-19433).
• прочие сведения, которые могут идентифицировать человека.
Персональные данные хранят с момента их получения до момента, когда цель их обработки достигнута. После чего не позднее 30 дней сведения их уничтожают (ч. 4 ст. 21 закона № 152-ФЗ).
В компаниях есть немало документов, содержащих персональные данные. Это, например:
• анкета, автобиография, которые заполняют сотрудники при приеме на работу. В них содержатся анкетные и биографические данные работника;
• трудовой договор. В нем прописывают такие личные данные работника, как фамилия, имя и отчество, дата рождения, местожительство, сведения о документах, удостоверяющих личность, сведения о заработной плате. Кроме того, договор содержит информацию о должности работника, месте работы, рабочем месте;
• личная карточка № Т-2. В ней указывают фамилию, имя, отчество сотрудника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность, и так далее;
• трудовая книжка или ее копия. Содержит сведения о трудовом стаже, предыдущих местах работы;
• сведения о трудовой деятельности (формы СТД-Р, СТД-СФР и подраздел 1.1 подраздела 1 раздела 1 единой формы ЕФС-1). Содержат информацию о местах работы;
• подлинники и копии приказов по личному составу. В них содержится информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника.
Подлинные личные документы работников (трудовые книжки, дипломы, удостоверения, свидетельства) хранятся до востребования. Невостребованные сотрудниками – 50 (75) лет – если оформлены до 2003 года (п. 449 перечня типовых управленческих архивны документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденного Приказом Росархива от 20.12.2019 № 236).
Документы по личному составу (трудовые договоры, личные карточки), личные дела, а также приказы и распоряжения по личному составу (о приеме, переводе, увольнении, награждении) хранятся 50 (75) лет – если оформлены до 2003 года (пп. 434, 435, 444, 445 перечня № 236). То есть такие документы необходимо хранить и после увольнения сотрудника в течение установленных сроков.
В случаях, предусмотренных законом, оператор вправе обрабатывать персональные данные только с письменного согласия их субъекта. Оно может быть дано в бумажной или электронной форме (ч. 4 ст. 9 закона № 152-ФЗ). Согласие на обработку персональных данных должно отвечать таким требованиям, как (ч. 1 ст. 9 закона № 152-ФЗ):
• конкретность;
• информированность;
• сознательность;
• предметность;
• однозначность.
Законодательно бланк согласия не утвержден, составить его можно в произвольной форме. Перечень сведений, которые должные быть отражены в согласии, приведен в ч. 4 ст. 9 закона № 152-ФЗ. Это, в частности:
• Ф.И.О., адрес физлица, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• Ф.И.О., адрес представителя гражданина, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или другого документа, подтверждающего полномочия этого представителя (при получении согласия от представителя гражданина);
• название или Ф.И.О., адрес оператора, получающего согласие на обработку данных;
• цель обработки сведений;
• перечень персональных данных, на обработку которых дается согласие;
• название или Ф.И.О., адрес лица, осуществляющего обработку сведений по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки данных;
• срок, в течение которого действует согласие, а также способ его отзыва, если другое правило не установлено законом;
• подпись физлица — субъекта персональных данных или его представителя.
Согласие на обработку персональных данных физического лица не требуется в случаях, приведенных в пп. 2–11 ч. 1 ст. 6 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Например, оно не нужно, если обработка необходима:
• для заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем. Например, если индивидуальный предприниматель арендует у компании помещение и в договоре указывают его паспортные данные;
• исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин. Например, если запрашивается адрес гражданина для доставки ему товара;
• осуществления и выполнения функций, полномочий и обязанностей, которые возложены законодательством. Например, если продавец получает у клиента адрес его электронной почты, чтобы направить ему кассовый чек в электронной форме (письмо Минкомсвязи РФ от 07.07.2017 № П11-15054-ОГ);
• осуществления прав и законных интересов (компании или третьих лиц) либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, если в целях обеспечения безопасности охранник записывает Ф.И.О. и паспортные данные посетителей.
В остальных случаях обработка персональных данных осуществляется с согласия гражданина (п. 1 ч. 1 ст. 6 закона № 152-ФЗ).
Срок хранения согласия составляет три года после истечения срока действия согласия или его отзыва, если иное не предусмотрено законом или договором (ст. 441 перечня № 236). Например, согласие дано на один год, следовательно, его нужно уничтожить через 4 года после выдачи. Если согласие было отозвано досрочно, тогда его нужно уничтожить через три года после отзыва.
Порядок хранения и использования персональных данных сотрудников устанавливает работодатель с учетом требований ТК РФ и иных федеральных законов (ст. 87 ТК РФ). Данная норма обязывает нанимателя принять локальный акт, который будет регулировать порядок хранения и использования личных сведений. Таким актом обычно является положение об обработке и защите персональных данных. Согласно пункту 8 статьи 86 ТК РФ работники и их представители должны быть ознакомлены под подпись с документами, устанавливающими порядок обработки и защиты персональных данных, а также их права и обязанности в этой области.
Положение о персональных данных нужно хранить постоянно (п. 440 перечня № 236). Это означает, что такие документы, образовавшиеся в ходе деятельности источников комплектования государственных или муниципальных архивов, подлежат передаче на постоянное хранение в эти архивы после истечения сроков их временного хранения в организациях. Документы с указанным в перечне № 236 сроком хранения «Постоянно» в организациях, не являющихся источниками комплектования государственных, муниципальных архивов, не могут храниться менее 10 лет (сноска 1 к указанному перечню, п. 4.4 инструкции по применению перечня, утвержденной Приказом Росархива от 20.12.2019 № 237).
С первого марта 2023 года начали действовать требования к подтверждению уничтожения персональных данных, утвержденные Приказом Роскомнадзора от 28.10.2022 № 179 (ч. 7 ст. 21 закона № 152-ФЗ). Набор и содержание документов, которые оператор должен оформить, зависят от того, использует ли он при обработке личных сведений граждан средства автоматизации.
Если обработка проводится вручную, то для подтверждения факта уничтожения сведений нужно составить соответствующий акт.
Если же она осуществляется с использованием средств автоматизации, то наряду с актом об уничтожении персональных данных требуется сделать выгрузку из журнала регистрации событий в информационной системе оператора.
В акт об уничтожении личной информации граждан нужно включить:
• название компании или Ф.И.О. оператора персональных данных;
• адрес оператора;
• название компании или Ф.И.О. физлица, которые обрабатывали личные сведения о гражданах по поручению оператора (при наличии такого поручения);
• Ф.И.О. субъектов персональных данных или другая информация, относящаяся к определенным физическим лицам, чьи персональные данные были уничтожены;
• Ф.И.О. и должности лиц, уничтоживших данные и их подписи;
• перечень категорий уничтоженных сведений;
• наименование уничтоженных материальных носителей с личной информацией граждан с указанием количества листов в отношении каждого такого носителя, если персональные данные обрабатывались на бумаге;
• наименование информационной системы, из которой были уничтожены данные, если обработка велась с использованием средств автоматизации;
• способ уничтожения информации;
• причину уничтожения;
• дату уничтожения.
Акт может быть оформлен как на бумаге, так и в электронной форме. В первом случае он заверяется личной подписью лиц, уничтоживших персональные данные, а во втором – их электронной подписью.
Выгрузка из журнала должна содержать:
• Ф.И.О. субъектов персональных данных или иную информацию, относящуюся к определенным физическим лицам, чьи данные были уничтожены;
• перечень категорий уничтоженных сведений;
• наименование информационной системы, из которой они были уничтожены;
• причину уничтожения информации;
• дату уничтожения.
При невозможности указать в выгрузке из журнала какие-либо сведения, их следует отразить в акте об уничтожении персональных данных.
Акт и выгрузку нужно хранить 3 года с момента уничтожения личных сведений граждан (п. 8 требований № 179).