Срок хранения согласия кандидата на обработку персональных данных 1 месяц

Содержание
  1. Поправки в закон о защите персональных данных: где опасность для рекрутера и работодателя
  2. Что такое персональные данные, за неправильную работу с которыми наказывают?
  3. Кто такой оператор персональных данных?
  4. Я рекрутер, у меня есть база соискателей. значит, я оператор персональных данных?
  5. Я работодатель и я храню резюме кандидатов — я что-то нарушаю?
  6. Я рекрутер, я передаю данные работодателю через hrspace. я могу это делать или нужно какое-то согласие на обработку?
  7. Я публикую вакансии на других площадках, мне пишут кандидаты и скидывают свои резюме. я что-то нарушаю?
  8. Я публикую вакансии на своем сайте и делаю лендинги с описанием вакансий. на сайте и на лендинге есть форма. я что-то нарушаю?
  9. Что грозит за отсутствие Политики обработки персональных данных на сайте?
  10. Что грозит за обработку персональных данных без согласия соискателя?
  11. Как правильно написать Политику обработки персональных данных, чтобы разместить ее на сайте?
  12. И что мне делать, если я что-то нарушаю?
  13. Согласие на обработку персональных данных: бланк заявления, правила заполнения, срок действия
  14. Согласие на обработку персональных данных: правовая суть документа
  15. Правила составления согласия на обработку персональных данных
  16. Сроки действия согласия на обработку личной информации
  17. Законодательная база в вопросах обработки персональных данных
  18. 5 шагов по организации учета и хранения персональных данных
  19. Какие данные являются персональными
  20. Обработка персональных данных
  21. Организация учета и хранения персональных данных
  22. Подведем итоги
  23. Срок действия согласия на обработку персональных данных
  24. Срок действия согласия
  25. согласия
  26. Продление сроков

Поправки в закон о защите персональных данных: где опасность для рекрутера и работодателя

Срок хранения согласия кандидата на обработку персональных данных 1 месяц

С июля 2021 года вступили в силу поправки в закон о персональных данных. Штрафы для всех, кто неправильно собирает, обрабатывает и хранит любые персональные данные, ощутимо выросли.

Директор юридического департамента hh.ru Юрий Донников объяснил, что значит статья «О нарушении законодательства Российской Федерации в области персональных данных» для работодателей и рекрутеров.

Что такое персональные данные, за неправильную работу с которыми наказывают?

Персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу. В нашем случае — к соискателю.

Даже если в наборе персональных данных отсутствуют фамилия и имя, но набор этих данных принадлежит одному конкретному физическому лицу — это все равно персональные данные. То есть резюме без имени и фамилии подпадают под закон.

Резюме — это персональные данные.

Кто такой оператор персональных данных?

Оператором персональных данных может быть государственный или муниципальный орган, юридическое или физическое лицо, которые:

  • организуют или осуществляют обработку персональных данных,
  • определяют цели обработки и состав персональных данных,
  • совершают с этими данными какие-то действия.

Скорее всего, вы являетесь оператором персональных данных, если получаете от любых людей следующую информацию:

  • фамилия, имя, отчество;
  • какой-то физический адрес или электронная почта;
  • телефон;
  • дата или место рождения;
  • фотография;
  • ссылка на персональный сайт или соцсети;
  • профессия, образование, уровень доходов и другие личные сведения.

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации — это операторы персональных данных.

Соискатель — это субъект персональных данных. Рекрутер или работодатель — операторы персональных данных.

Я рекрутер, у меня есть база соискателей. значит, я оператор персональных данных?

Да. Даже когда рекрутер не является юридическим лицом.

Я работодатель и я храню резюме кандидатов — я что-то нарушаю?

Если эти кандидаты не прошли собеседование либо вакансия, на которую они откликались, уже закрыта, то хранение таких резюме незаконно, и вот почему. Первоначально работодатель обрабатывал эти данные в целях приема на работу. Как только соискатель получил отказ — цель достигнута. А при достижении цели обработки требуется уничтожать персональные данные.

На практике регулятор допускает, что достижение цели может быть не сразу очевидно, так что вы должны установить срок, в течение которого такие данные должны быть удалены — желательно не более 1-2 месяцев. Но если достижение заявленной цели обработки однозначно — то нужно удалять, конечно, сразу.

Если вам нужно хранить данные кандидатов даже после закрытия вакансии, то вы должны взять с них отдельное согласие на обработку данных в целях учета в кадровом резерве.

Именно так расценивает хранение резюме кандидатов регулирующий орган в отдельном разъяснении.

Я рекрутер, я передаю данные работодателю через hrspace. я могу это делать или нужно какое-то согласие на обработку?

Если вы получаете персональные данные соискателей из базы резюме hh.ru, то все в порядке. Вы купили доступ и заключили договор на услуги по доступу к этой базе данных. hh.ru за вас получает согласие на обработку у всех, кто публикует там резюме.

Если нет, то нужно убедиться, что у вас или у вашего работодателя (если вы представляете кадровое агентство) есть согласие от соискателей на обработку их персональных данных.

Я публикую вакансии на других площадках, мне пишут кандидаты и скидывают свои резюме. я что-то нарушаю?

Зависит от формата, в котором вы получаете резюме. Если соискатели скидывают вам ссылки на резюме, опубликованные на том же hh.ru или других сайтах с базами данных резюме, то все в порядке. Крупные сайты сами собирают согласие на обработку.

Если вы сами просите кандидата заполнить веб-форму или получаете резюме в виде готовых файлов, заполненных кандидатами, то на сайте с формой нужно разместить и текст согласия на обработку персональных данных, и Политику обработки персональных данных как публичный документ оператора.

Вот так это может выглядеть: формы на сайте hh.ru ссылаются на полный текст соглашения

Я публикую вакансии на своем сайте и делаю лендинги с описанием вакансий. на сайте и на лендинге есть форма. я что-то нарушаю?

Такую веб-форму нужно сопроводить текстом согласия на обработку персональных данных, а на сайте должна быть размещена Политика обработки персональных данных, в противном случае это будет нарушением закона.

Что грозит за отсутствие Политики обработки персональных данных на сайте?

В соответствии с п. 3 ст. 13.11 Кодекса об административных правонарушениях РФ — предупреждение или административный штраф:

  • физическим лицам — от 700 до 1 500 рублей;
  • должностным лицам — от 3 000 до 6 000 рублей;
  • индивидуальным предпринимателям — от 5 000 до 10 000 рублей;
  • юридическим лицам — от 15 000 до 30 000 рублей.

Что грозит за обработку персональных данных без согласия соискателя?

В соответствии с п.1. ст.13.11 Кодекса об административных правонарушениях РФ —
предупреждение или административный штраф:

  • физическим лицам — от 1 000 до 3 000 рублей;
  • должностным лицам — от 5 000 до 10 000 рублей;
  • юридическим лицам — от 30 000 до 50 000 рублей.

Есть случаи, когда согласие на обработку должно быть письменным. Например, это касается обработки сведений о здоровье. Здесь работает пункт 2 этой же статьи 13.11 Кодекса и суммы штрафа другие:

  • физическим лицам — от 3 000 до 5 000 рублей;
  • должностным лицам — от 10 000 до 20 000 рублей;
  • юридическим лицам — от 15 000 до 75 000 рублей.

Как правильно написать Политику обработки персональных данных, чтобы разместить ее на сайте?

Следуйте официальным рекомендациям от Роскомнадзора.

Еще можно посмотреть, как это сделали другие. Например:

И что мне делать, если я что-то нарушаю?

Обратитесь к юристу!

По закону каждому оператору персональных данных нужно разработать от 10 до 20 внутренних документов, внедрить и настроить средства защиты (например специализированное ПО), установить несгораемые запираемые шкафы для хранения персональных данных в бумажном виде, организовать контроль за допущенными к обработке лицами и много чего еще.

Требования закона касаются не только форм и Политики на сайте. Чтобы быть спокойным, если придут с проверкой, обратитесь за консультацией к юристу. Он объяснит, какие меры нужно принять в вашем конкретном случае.

___
Иллюстрация к статье: istockphoto.com

Согласие на обработку персональных данных: бланк заявления, правила заполнения, срок действия

Срок хранения согласия кандидата на обработку персональных данных 1 месяц

Конституция РФ закрепляет право каждого гражданина на неприкосновенность частной и семейной жизни, конфиденциальный статус информации данного рода.

Что касается общих персональных данных человека — сведений, которые непосредственно относятся к физическому лицу — на законодательном уровне утвержден специальный регламент их сбора, обработки, передачи и хранения с ведома и согласия их владельца.

Особую важность в данных процедурах имеет такой документ, как письменное согласие на обработку персональных данных.

Согласие на обработку персональных данных: правовая суть документа

Письменное согласие на обработку персональных данных — это документ-разрешение, которое физическое лицо (сам субъект персональных данных) дает той или иной заинтересованной стороне для проведения процедуры сбора, передачи, хранения и использования в целевых нуждах информации о своей персоне. Применение данного документа регламентируется Законом “О персональных данных” (ФЗ №152-ФЗ от 27 июня 2006 года), 9 Статья которого декларирует его правовые особенности, а также порядок его составления.

Речь идет о передаче следующей информации о субъекте:

  • ФИО, половая принадлежность, дата рождения, гражданство и пр., то есть — общие данные;
  • физиологические параметры субъекта — биометрические данные;
  • трудоустройство, вероисповедание, состояние здоровья и прочие сведения о личности — информация специального характера.

Важным будет заметить то, что персональное согласие на обработку личных данных необходимо даже в том случаях, если речь идет об общедоступной информации, то есть во всех случаях юридического взаимодействия с гражданином.

Одной из правовых особенностей данной бумаги является гарантия того, что заинтересованная сторона будет использовать предоставленные данные исключительно по целевому назначению, известному самому их субъекту, исключив их участие в каких-либо неправомерных действиях.

Согласие на обработку персональных данных на сегодняшний день является нормативным требованием в любых взаимодействиях с государственными и муниципальными органами, медицинскими службами, образовательными, спортивными, финансовыми, страховыми учреждениями, компанией-работодателем и т.д. — везде, где фигурируют личные данные гражданина, он должен дать персональное согласие на их использование.

Правила составления согласия на обработку персональных данных

Согласно Закону “О персональных данных”, письменное согласие на обработку личной информации должно нести максимально конкретный и достоверный характер предоставляемых сведений, при этом его заполнение является добровольной акцией самого субъекта такой информации.

Утвержденного на законодательном уровне стандарта заполнения такого документа нет — заявление-согласие составляется по общепринятому в организации образцу (либо в произвольном формате).

Вместе с тем закон требует соблюдения требований по изложению следующих категорий данных в таком бланке:

  • реквизиты организации, выступающей заинтересованной в получении информации стороны;
  • реквизиты уполномоченного на прием данных сотрудника учреждения, куда подаются сведения;
  • дата и место написания заявления-согласия;
  • данные субъекта информирования — ФИО, реквизиты паспорта или иного документа, удостоверяющего персону, адрес проживания.

Основную часть заявления-согласия составляют следующие параметры:

  • конкретный перечень персональных данных, которые передает субъект заинтересованной стороне;
  • цели получения информации;
  • срок действия разрешения от субъекта персональной информации;
  • условия возможности отзыва документа.

Важным моментом изложения является декларация того, что передача информации несет добровольный характер, и разрешение составляется без какого-либо принуждения. Документ в обязательном порядке визируется подписью субъекта информирования.

Образец документа: шаблон заявления-согласия на обработку персональных данных можно скачать по ссылке.

Сроки действия согласия на обработку личной информации

Регламентированный временной промежуток действия согласия на обработку персональных данных — обязательный реквизит документа.

Согласно Закону “О персональных данных”, их хранение не может производиться дольше, чем необходимо в соответствии с целями их использования.

Иными словами, срок действия разрешения на обработку личной информации не должен превышать срок взаимодействия субъекта и организации, прописанного в основном договоре (трудовом, банковском, соглашении о предоставлении услуг и пр.).

Передаваемые личные сведения должны быть уничтожены по факту реализации целей их использования либо же при отсутствии необходимости достижения таких целей. Срок действия согласия на обработку личной информации может определяться конкретной датой либо же моментом завершения обработки данных и статуса их ненадобности.

Законодательная база в вопросах обработки персональных данных

Основным нормативным актом, регулирующих принципы, порядок, условия обработки личных сведений данных граждан, является Закон “О персональных данных” (ФЗ №152-ФЗ от 27 июня 2006 года).

В данном федеральном законе также содержится декларация прав и обязанностей стороны-получателя в процессе осуществления сбора личной информации, ответственности за нарушения нормативного регламента.

Статья 13.11 КоАП РФ содержит развернутый перечень того, что запрещается при обработке персональной информации, а также меры ответственности за каждый проступок.

В семи частях документа описываются такие правонарушения, как сбор информации, когда это не предусмотрено законом, получение информации без подписанного согласия, отсутствие информирования субъекта о целях получения данных о нем, нарушение порядка передачи и хранения информации, случайное или умышленное разглашение сведений — данные деяния находятся под законодательным запретом и предполагают серьезные меры административной ответственности.

Уголовные меры наказания — не только штрафы, но также исправительные работы и даже тюремное заключение предусмотрены за умышленное разглашение персональных данных и неправомерное их использование без согласия владельца в том случае, если эти действия наносят вред частной жизни граждан.

Пояснения состава преступления в данных действиях излагаются в Статье 137 Уголовного кодекса РФ.

В заключение подчеркнем: согласие на обработку персональных данных служит нормативным условием реализации правомерных действий по сбору, обработке и хранении персонализированных сведений о гражданах РФ.

Документ не имеет регламентированного государственного стандарта, однако законодательство выдвигает ряд требований в нем обязательной информации. В компетенции заинтересованной стороны — разработка шаблона с учетом всех необходимых параметров персональных данных исходя из целей их использования.

Загрузка…

5 шагов по организации учета и хранения персональных данных

Срок хранения согласия кандидата на обработку персональных данных 1 месяц

Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1.  из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. 

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Срок действия согласия на обработку персональных данных

Срок хранения согласия кандидата на обработку персональных данных 1 месяц

Субъектам хозяйствования, независимо от формы собственности, необходимо собирать, обрабатывать, хранить персональные данные (ПДн) работников, партнеров по бизнесу и других лиц.

Получать согласия на обработку персональных данных нужно с соблюдением требований законодательства.

Оператору также нужно знать, сколько может действовать такое согласие, чтобы при выполнении любых действий с ПДн не нарушать требования законодательных актов.

Срок действия согласия

Хранить и обрабатывать личные данные оператор может на протяжении некоторого срока. Для этого нужно получить у субъекта ПДн одобрение на их использование, в котором указывается период его действия. Но в законе о персональных данных № 152 не указываются эти граничные сроки (гл. 2 з-на). Соответственно, нужно установить этот срок, опираясь на взаимно подписанное соглашение.

Предусматривается три варианта фиксации срока такого разрешения:

1. Можно установить ограниченное время на использование и хранение ПДн, прописав конкретную дату, до которой разрешение будет юридически законным. В таком случае нужно учитывать, что по окончании этого срока может понадобиться применить личные сведения гражданина.

Но до оформления нового разрешения воспользоваться ими не разрешается, поэтому можно потерять много времени на документальные проволочки, что иногда тянет за собой проблемы.

Нужно постоянно контролировать граничные сроки действия разрешения и до окончания указанной в нем даты оформить новое одобрение.

2. Следующий способ: вписать в разрешение срок действия данного документа – до реализации условий, при которых обработка ПДн будет прекращена. В согласии гражданина на обработку его ПДн нужно указать какое-либо событие вместо конкретного числа.

Это может быть дата увольнения сотрудника, выполнение какой-либо услуги. Такой формат срока действия разрешения более приемлем в плане уменьшения затрат времени на бумажную фиксацию этого разрешения. Пока сотрудник не уволился, не нужно контролировать его сведения, чтобы отслеживать срок действия полученного от него согласия.

Также не требуется подписывать новое разрешение, если срок старого истек.

3. Можно воспользоваться комбинированным вариантом определения срока действия согласия, при котором устанавливается дата окончания и наступления конкретного события.

Примером такого способа может служить оформление займа в банке. Кредитор рассчитывает использовать сведения о заемщике на протяжении трех лет после закрытия кредита.

Соответственно, в соглашении указывается срок – на протяжении трех лет с даты окончания действия договора кредитования.

согласия

В законе о ПДн № 152-ФЗ прописан ряд обязательных требований в отношении оформления согласия на пользование личными сведениями, которые нельзя игнорировать. Во время формирования согласия важно тщательно проработать и внести следующую информацию:

  • цель – не каждый гражданин хочет, чтобы его личные сведения были доступны всем. Нужно указать в одобрении, с какой целью требуется обрабатывать ПДн, кто будет иметь доступ к этой информации. К примеру, если работник будет выходить на пенсию, кадровик должен передать его документы Пенсионному фонду. От оперативности передачи данных будет зависеть своевременность назначения пенсии. Но если сотрудник рассчитывает на действия с его личными данными исключительно для работы, он может проявить свое недовольство тем, что его руководством переданы сведения о нем для действий, не связанных с работой;
  • отрезок времени, на протяжении которого ПДн гражданина будут использоваться. Нужно прописывать срок действия согласия на обработку персональных данных. К примеру, работник два года назад прекратил трудовые отношения с компанией, а бывший работодатель предоставляет его личные сведения в целях оформления карты для зачисления заработной платы в определенном банке. Это может привести к недовольству бывшего сотрудника. Не нужно игнорировать необходимость установки периода обработки ПДн, чтобы избежать проблем с обращением работника в судебные органы или прокуратуру;
  • срок хранения документов с ПДн. Если согласие на использование персональных данных было дано для каких-либо конкретных целей, то их уничтожение должно быть произведено на протяжении 1 месяца после того, как цель достигнута. Это требование регламентировано статьей 21 ФЗ № 152. Как только стороны выполнят свои обязательства в отношении друг друга, сведения хранить не имеет смысла.

Нужно знать, что законодательство требует хранить документацию, касающуюся сотрудника, на протяжении 75 лет. Это касается и личной информации.

Продление сроков

Если необходимо продлить срок действия согласия на какой-либо период после окончания указанной в нем даты, выполнить это можно следующим образом:

  • заключить дополнительное соглашение;
  • сделать новое разрешение;
  • внести в его текст возможность автоматического продления на конкретный период.

Чтобы избежать конфликтов, недоразумений между сторонами, лицо, уполномоченное на обработку ПДн, должно владеть знаниями о требованиях актуального законодательства и обеспечить их выполнение.

Советы юриста
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: