Сколько хранятся персональные данные работников

Обновлено: 05.05.2024

Государственная инспекция труда в Псковской области напоминает: об обработке, защите, хранении, использовании персональных данных работника говорится в статьях Трудового кодекса РФ 86-90.

Работодатель при обработке персональных данных работника обязан соблюдать общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности;

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств;

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Порядок хранения и использования персональных данных работников устанавливается работодателем.

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

• не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника;
• не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
• предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности);
• осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
• разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
• не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Рано или поздно у каждой организации накапливаются большие архивы, которые, в том числе, содержат документы на бывших сотрудников с их персональными данными - ПДн (сведения из приказов, лицевых счетов, налоговых карточек, свидетельств о браке и рождении детей и многое другое). В связи со строгими регламентами работы с персональными данными физических лиц многие компании переживают, что при неправильной обработке и хранении информации бывших сотрудников им грозят штрафные санкции от надзорных органов. Прежде всего, от специалистов Роскомнадзора. Иногда штрафы имеют весомый размер. Давайте выясним, какими нормативными актами регулируется хранение персональных данных?

Сегодня хранение документов, содержащих персональные данные физических лиц, регламентируется различными законами и нормативно-правовыми актами, например:

• Законом о персональных данных
  Согласно этому закону после того, как работник прекратил трудовую деятельность в организации, компания как оператор ПДн достигла целей их обработки и обязана прекратить хранить информацию. Согласно закону на уничтожение документов отводится один месяц.
• Налоговым кодексом Российской Федерации
  Документация, содержащая персданные уволенных, используется в течение длительного срока после увольнения. Так, например, согласно НК РФ необходимо хранить сведения об НДФЛ не менее четырех лет, а информацию о взносах – не менее шести лет.
• Трудовым кодексом Российской Федерации
  Согласно ТК РФ бывшие работники предприятия могут в любой момент обратиться в бухгалтерию или архив за документами, содержащими сведения для расчета пенсионного стажа или величины пособий.
• Законом об архивном деле
  Данный нормативно-правовой акт подразумевает обязательное хранение документов о работников в течение 50 лет после их увольнения (до 2003 года этот срок был еще больше – 75 лет).

Существуют и другие законы, регулирующие хранение документов с личными данными, например, Закон о пособиях по временной нетрудоспособности и в связи с материнством.

Что думают ведомства?

Наличие различных законов и нормативно-правовых актов отражается на восприятии темы инспекторами различных ведомств. Так, например:

• Эксперты из Роскомнадзора настаивают, что организации не должны хранить документы, связанные с браком и детьми, несмотря на доводы о том, что именно эти данные часто нужны для расчета вычета и пособий;
• Инспекторы из налоговой отмечают, что при необходимости они могут проверить все документы, являющиеся основаниями для расчетов, самостоятельно, даже, если это касается уволенных сотрудников, а предоставление копии документы не является юридически значимым.
• В Федеральном Фонде Социального Страхования специалисты отмечают, что наличие документов о сотрудниках, даже уволенных, необходимо при камеральной проверке, иначе ревизор не может проверить обоснованность, например, выплат пособия сотруднику.

Как поступают бухгалтеры?

В связи с неразберихой многие бухгалтеры вынуждены идти на некоторые хитрости, чтобы, с одной стороны, выполнить требования одних надзорных органов, но при этом, с другой стороны, не нарушить регламенты других инстанций. Например, некоторые делят всю документацию о каждом сотруднике на две категории:

1. Внутренние документы – к ним можно отнести приказ, ведомость, заявление сотрудника и др.
2. Внешние документы – личные документы работника.

При этом внутренние документы можно хранить столько, сколько предписывает Закон об архивном деле, и Роскомнадзор не сочтет это нарушением. А вот подход к хранению внешних документов у разных бухгалтеров отличается. Можно выделить четыре основных подхода:

1. Уничтожение внешних документов с предварительным составлением акта, в котором указываются названия документов и их количество. Подписываются подобные акты специально созданной комиссией, в составе которой обязательно должен присутствовать руководитель организации;
2. Передача сотруднику в последний день работы.
3. Хранение документов только в сканированном виде (копии передаются работнику в день увольнения или уничтожаются);
4. Тайное хранение документов и их выдача по запросу. Например, для тех инстанций, которым они требуются, бухгалтерия показывает данные, а для тех, кто штрафует за хранение (например, Роскомнадзор) их не существует.

Как быть? Хранить или не хранить?

Если вы хотите, с одной стороны, соблюдать требования всех инстанций, а, с другой стороны, не столкнуться со штрафами от других надзорных органов, воспользуйтесь сервисом СБИС ЭДО для хранения и обмена электронными документами с контрагентами и государственными инстанциями. Система автоматически подскажет вам, в течение какого срока необходимо хранить тот или иной документ по уволенному сотруднику, и сообщит, можно ли его распечатывать.

Почему современные компании выбирают СБИС ЭДО?

Ведение электронного документооборота в СБИС – это:

• Комфорт – интуитивно понятным интерфейсом быстро овладеет даже новичок;
• Доступность – работать в СБИС ЭДО можно как с ПК и сервера, так и с мобильных устройств;
• Интеграция – с основными учетными системами позволит легко импортировать и экспортировать файлы;
• Безопасность – благодаря криптографической защите вы обеспечите конфиденциальность личных данных сотрудников;
• Выгодная стоимость, благодаря которой тысячи компаний в вашем городе выбрали ПО от СБИС.

Хотите заказать СБИС ЭДО или задать вопросы о сервисе? Обратитесь к нашим специалистам, и они быстро ответят!

** Здесь и далее звездочки (**) означают, что при ликвидации организаций, не являющихся источниками комплектования государственных, муниципальных архивов, документы принимаются на постоянное хранение по принципу выборки организаций и документов.

Срок хранения документа*

8.1. Прием, перемещение (перевод), увольнение работников

Документы (доклады, сводки, справки, сведения) о состоянии и проверке работы с кадрами

Переписка о приеме, распределении, перемещении, учете работников

Документы (заявки, сведения, переписка) о потребности в работниках, сокращении (высвобождении) работников

Переписка о переводе работников в другие организации

Документы (списки, ходатайства, представления, характеристики, анкеты) по формированию резерва работников на прием

Сведения о составе работников, замещающих государственные должности по полу, возрасту, образованию, стажу работы за год

Письменные уведомления работодателя об увольнении работников с указанием причин, не вошедшие в состав личных дел

Локальные нормативные акты (положения, инструкции) о персональных данных работников:

(1) После замены новыми

а) по месту разработки и утверждения

Личные дела (заявления, копии приказов и выписки из них, копии личных документов, листки по учету кадров, анкеты, аттестационные листы и др.)(1):

(1) Виды документов, входящих в состав личных дел, определенных категорий работников указаны в соответствующем законодательстве

а) руководителей организации; членов руководящих, исполнительных, контрольных органов организации; членов (депутатов) представительных органов Российской Федерации, субъектов Российской Федерации, органов местного самоуправления; работников, имеющих государственные и иные звания, премии, награды, степени и звания

б) работников, в т.ч., государственных гражданских и муниципальных служащих

Трудовые договоры (служебные контракты), трудовые соглашения, договоры подряда, не вошедшие в состав личных дел

Личные карточки работников, в т.ч., временных работников

Выездные дела специалистов, командированных на работу за рубежом

Сведения о доходах, об имуществе и обязательствах имущественного характера государственных гражданских и муниципальных служащих, не вошедшие в состав личных дел

Характеристики, резюме работников, не вошедшие в состав личных дел

Переписка по вопросам реабилитации (политической, профессиональной, медицинской) работников

Документы (анкеты, автобиографии, листки по учету кадров, заявления, рекомендательные письма) лиц, не принятых на работу

Подлинные личные документы (трудовые книжки, дипломы, аттестаты, удостоверения, свидетельства)

До востребования (1)

(1) Невостребованные –75 л.

Документы (справки, докладные, служебные записки, копии приказов, выписки из приказов, заявления и др.), не вошедшие в состав личных дел

Документы (заявления работника о согласии на обработку персональных данных, сведения, уведомления) о субъекте персональных данных

Акты приема-передачи личных дел государственных гражданских и муниципальных служащих при переходе на другую работу

(1) После возвращения из командировки. Для работников, направленных в командировки в районы Крайнего Севера и приравненные к ним местности – 75 л.

Документы (служебные задания, отчеты, переписка) о командировании работников

(1) Для долгосрочных зарубежных командировок – 10 л. ЭПК

Протоколы заседаний конкурсных комиссий по замещению вакантных должностей, избранию на должность, формирования кадрового резерва; заключению служебных контрактов с государственными гражданскими служащими, достигшими возраста 60-ти лет; документы (справки, характеристики и др.) к ним

Документы (выписки из протоколов, списки трудов, отчеты) для конкурсных комиссий по замещению вакантных должностей, избранию на должность лиц (работников), не имеющих личных дел

Документы (заявления, справки и др.) претендентов на замещение вакантных должностей

(1) После проведения конкурса на замещение вакантных должностей

Переписка о замещении вакантных должностей, избрании на должность, подготовке кадрового резерва

Переписка о прохождении государственной и муниципальной службы

Переписка по вопросам подтверждения трудового стажа работников

Документы (представления, ходатайства, анкеты, акты) об установлении персональных ставок, окладов, надбавок

(1) При отсутствии приказов – 75 л. ЭПК

Переписка об установлении и выплате персональных ставок, окладов, надбавок

Протоколы заседаний комиссии по соблюдению требований к служебному поведению государственных гражданских и муниципальных служащих и урегулированию конфликтов

Документы (заявления, протоколы, решения, докладные, служебные записки) по вопросам соблюдения требований к служебному поведению работников и урегулированию конфликта интересов

(1) После урегулирования конфликта

Документы (служебные, объяснительные записки, заключения, протоколы, заявления и др.) о фактах обращения в целях склонения государственных гражданских служащих и муниципальных служащих к совершению коррупционных правонарушений; о соблюдении требований к служебному поведению, регулированию конфликта интересов

Уведомления о фактах обращения в целях склонения государственных гражданских служащих и муниципальных служащих к совершению коррупционных правонарушений; об осуществлении иной оплачиваемой деятельности государственными гражданскими служащими и муниципальными служащими

Документы (заявления, служебные записки, заключения и др.) о служебных проверках государственных гражданских служащих и муниципальных служащих

а) уведомлений о фактах обращения в целях склонения государственных гражданских служащих и муниципальных служащих к совершению коррупционных правонарушений

б) уведомлений об осуществлении иной оплачиваемой деятельности государственными гражданскими служащими и муниципальными служащими

в) служебных проверок государственных гражданских служащих и муниципальных служащих

г) заявлений о соблюдении требований к служебному поведению, регулированию конфликта интересов

Реестры федеральных государственных гражданских служащих, государственных гражданских служащих субъектов Российской Федерации и муниципальных служащих

(1) Состав документов и сведений, содержащихся в реестрах, определяется законами и нормативными правовыми актами Российской Федерации. Хранятся в организации, исполняющей функцию ведения реестра, передаются на постоянное хранение после завершения ведения

(1) При отсутствии лицевых счетов – 75 л.

а) членов руководящих и исполнительных органов организации

б) ветеранов и участников Великой Отечественной войны и других военных действий

в) награжденных государственными и иными наградами, удостоенных государственных и иных званий, премий

У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.

Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.

Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.

Основная информация о персональных данных:

Глава 14 Трудового кодекса РФ

Закон № 152-ФЗ О персональных данных

Положение об особенностях обработки персональных данных без средств автоматизации

Каких работодателей касаются правила о персональных данных

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна.

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

Что такое персональные данные работника

Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст. 3 Закона № 152-ФЗ.

Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.

Вот список для ориентира:

Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.

Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.

Фото работника — например, на пропуск.

Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.

Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

Новым ИП — год Эльбы в подарок

Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев

Что будет за нарушение закона о персональных данных

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего.

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Гражданско-правовая ответственность: моральный вред работнику

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда.

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Уголовная ответственность

В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ.

В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.

Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.

Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.

Правила работы с персональными данными работника

Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

🔐 Персональные данные работника обрабатывают только с его письменного согласия.

🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.

О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

Как настроить работу с персональными данными: инструкция

Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.

1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.

Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.

2. Назначьте ответственного за персональные данные.

Так нужно в силу ст. 22.1 Закона № 152-ФЗ.

Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.

ИП и организации с одним учредителем ответственным назначают себя.

3. Берите с каждого работника письменное согласие на обработку персональных данных.

Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.

4. Храните документы с персональными данными в надёжном месте.

Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.

Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.

5. Уничтожайте персональные данные полностью.

Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.

6. Если нужно, уведомляйте Роскомнадзор.

По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных.

Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ.

Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.

А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.

Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.

7. Исполняйте требования закона не только формально.

Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.

Статья актуальна на 09.02.2021

Читайте также:

  
• Зарплата в гимназии выше чем в школе
  
• Может ли директор расписаться в трудовой книжке
  
• Работа пионервожатой входит в педстаж ли для льготной пенсии
  
• Профессия онколог плюсы и минусы
  
• Как переделать больничный лист