Ответственность за хранение персональных данных на уволенных сотрудников

31/03/25

Б-152

Ответственность за хранение персональных данных на уволенных сотрудников

В этой статье разберемся в том, как работодателю надлежит осуществлять обработку персональных данных уволенных работников. Кроме того, узнаем, какая ответственность ему грозит за несоблюдение установленных требований и какие штрафы в отношении работодателя могут применить контролирующие органы.

Персональные данные (ПДн) представляют собой разнообразную информацию о человеке, которая позволяет его идентифицировать. К персональным данным относятся дата рождения, ФИО, ИНН, СНИЛС, контактная информация и прочие сведения о частной жизни и других аспектах, касающихся пользователя непосредственно.

Как правило, на предприятиях обрабатывают следующие данные работников:

• ФИО, дата и место рождения, паспортные данные;
• адрес, контактная информация;
• образование, квалификация, опыт работы;
• семейное положение, сведения о составе семьи;
• сведения о воинском учете;
• сведения о заработной плате;
• сведения о социальных льготах;
• ИНН, СНИЛС;
• фотография;
• медицинские сведения (в определенных случаях).

В силу закона обработка данных ведется:

• для ведения кадрового учета;
• для начисления заработной платы;
• для налоговой отчетности;
• для пенсионного и социального страхования;
• воинского учета;
• для медицинского страхования.

Для определенных должностей также собирают информацию о судимости.

В компаниях также зачастую обычно создают или присваивают работникам такие персональные данные, как логины учетныхе записейи и электронная почта в корпоративных системах, идентификаторы в CRM и других информационных системах, табельный номер, корпоративный телефон и так далее.

Согласно 152-ФЗ, уничтожение ПДн ― это ряд действий, которые выполняются в целях того, чтобы впоследствии информацию нельзя было восстановить ни с цифрового, ни с бумажного носителя, и использовать в дальнейшем. В статье 21 152-ФЗ указаны ситуации, в которых работодатель обязан уничтожить ПДн сотрудников. Также в законе указано, в какие сроки он должен это сделать.

В этом случае обязанность работодателя ― уничтожить личные сведения в течение 10 рабочих дней.

Пример ситуации: в процессе трудовой деятельности было сформировано личное дело с копиями документов работника без его согласия (паспорт, документы об образовании, СНИЛС и пр.). Работник при увольнении попросил уничтожить копии, так как их хранение признается избыточной обработкой ПДн в силу ч. 5 ст. 5 Закона № 152‑ФЗ даже при наличии согласия работника. Данная позиция также подтверждается судебной практикой (Постановление ФАС Северо-Кавказского округа от 21.04.2014 г. по делу № А53-13327/2013). Работодатель в течение 10 дней обязан выполнить требование бывшего сотрудника.

Также выявить случай неправомерного сбора и хранения ПДн может руководитель в ходе внутреннего аудита либо Роскомнадзор, который инициировал проверку предприятия.

Поступило требование о прекращении обработки ПДн

В этой ситуации уничтожить персональные данные необходимо в течение 10 рабочих дней. Требование об уничтожении подлежит удовлетворению и в случаях, когда ПДн обрабатываются законно, но не являются непосредственно необходимыми для исполнения возложенных на работодателя законом обязанностей.

Пример ситуации: работодатель получил правомерно от сотрудника данные личного кабинета в CRM-системе, а также корпоративной почты. Через какое-то время трудовые отношения с этим сотрудником были прекращены. Работодатель уничтожил данные сотрудника в течение 10 рабочих дней.

В этом случае уничтожить личные сведения необходимо в течение 30 дней. Так, в обязанности компании входит уничтожение личных данных работников ― после их увольнения, но только тех, которые законодательство не требует хранить.

Пример ситуации: компания проводила мероприятия для сообщества бывших работников (alumni), для чего получила согласие на обработку ссылок на их аккаунты в социальных сетях (в частности, для оперативного направления приглашений на мероприятия). Однако компания приняла решение прекратить проведение мероприятий, в связи с чем ей нужно уничтожить данные аккаунтов работников в течение 30 дней с даты принятия решения о прекращении проведения мероприятий.

На уничтожение персональных данных дается 30 рабочих дней. Отозвать согласие может сам сотрудник, который уволился с предприятия. Задача работодателя ― в течение 30 дней с даты получения заявления уничтожить всю информацию и подтвердить это актом об уничтожении, заверенным подписью.

Важно учесть, что после окончания трудовых отношений документы передают в архив. Даже если с работника взяли согласие на обработку персональных данных, а потом он его отзовет, документы будут будут храниться в архиве в срок, определенный архивным законодательством. Работать с ней уже будет нельзя, но и уничтожить тоже. Не только 152-ФЗ контролирует сроки хранения документов. Также есть законы об архивах. Например, в них указано, что работодатель может хранить приказы о переводе, приеме и увольнение в течение 50-75 лет. Аналогично ― с личными карточками работников, подлинными личными документами: трудовыми книжками, дипломами, аттестатами, удостоверениями, свидетельствами, не востребованными сотрудниками при увольнении.

Сроки хранения электронных документов совпадают со сроками хранения бумажных кадровых документов (приказ Росархива от 20.12.2019 № 236). Электронный документ создают, хранят, используют, а затем оформляют на длительное хранение или уничтожают.

Если работодатель не может уничтожить ПДн за установленный срок ― что делать? Тогда персональные данные могут быть заблокированы на срок до 6 месяцев, а после истечения установленного срока подлежат уничтожению.

ПДн работников хранят:

• на бумажных и цифровых носителях;
• в программах отдела кадров и бухгалтерии;
• на сайтах организации и даже в социальных сетях.

Соответственно, алгоритм их уничтожения различается. Но стандартно необходимо выполнить следующие действия:

1. Сформировать перечень персональных данных для уничтожения ― это обязанность ответственного лица.
2. Выявить, на каких носителях/в каких системах обрабатываются персональные данные.
3. Утвердить способ уничтожения и уничтожить данные из всех информационных систем и материальных носителей.
4. Составить акт об уничтожении.
5. При уничтожении ПДн из информационных систем персональных данных - дополнительно подтвердить уничтожение выгрузкой из журнала регистрации событий в ИСПДн

Также важно, чтобы в локальных нормативных актах организации присутствовало основание для удаления личных сведений. Руководитель должен назначить ответственного, в обязанности которого будет входить обработка персональных данных, включая уничтожение персональных данных.

В зависимости от носителей, на которых содержатся персональные данные, способы уничтожения могут отличаться:

• Бумажные носители сжигают, измельчают с помощью специальной машины, отдают на утилизацию. В последнем случае организация, занимающаяся утилизацией бумажных носителей, должна выдать квитанцию или иной документ, который будет подтверждать процесс уничтожения.
• Персональные данные на электронных носителях уничтожают посредством специальных программ или встроенных функций информационной системы.

Важно! Не стоит отдавать бумажные носители на предприятия, которые занимаются сбором макулатуры. Это опасно, так как важные документы могут попасть к кому угодно и субъектам ПДн будет нанесен серьезный вред.

Составление акта об уничтожении персональных данных ― обязательное требование. В нем, согласно приказу РКН от 28.10.2022 г. № 179, указывают:

• наименование организации, адрес, по которому находится компания;
• наименования лиц, осуществляющих обработку персональных данных по поручению оператора
• ФИО сотрудника (или иные идентификаторы), данные которого были уничтожены;
• ФИО и должность ответственных лиц, которые уничтожали информацию;
• список подлежащих уничтожению сведений, например, и прочее;
• название материального носителя ― необходимо указать количество листов;
• название информационной системы, из которой уничтожали сведения;
• причину уничтожения персональных данных;
• дату, в которую данные уничтожили, а также способ уничтожения.

Акт подписывают ответственные лица, которые непосредственно занимались уничтожением ПДн. Составить акт можно в бумажном формате или в электронном. В последнем случае его подписывают ЭЦП.

После того как электронные данные уничтожены, следует сделать выгрузку из журнала регистрации событий в инфосистеме. Выгрузка содержит информацию о работодателе и работнике, списки уничтоженных документов, дату уничтожения ПДн. В софте для кадровиков и бухгалтеров сформировать такой документ можно автоматически. Но не из всех программ можно сделать выгрузку, которая будет соответствовать требованиям Роскомнадзора. Если ваша программа не позволяет сделать полную выгрузку ― внесите недостающую информацию в акт отдельно.

Не забудьте после удаления личных сведений уведомить об этом работника. Это нужно сделать в письме.

Важно! Храните акт об уничтожении ПДн и выгрузку из информационной системы в течение трех лет. Иначе за отсутствие доказательств об уничтожении персональных данных уволенных сотрудников в отношении вас могут быть наложены штрафы.

Если Роскомнадзор инициирует проверку и обнаружит, что после направления субъектом персональных данных требования об уничтожении данных они не уничтожены в установленный срок, а акт об уничтожении персональных данных уволенных сотрудников не составлен либо составлен с ошибками ― работодателю грозит штраф по ч. 5 и 5.1 ст. 13.11 КоАП РФ.

Возможны штрафы в следующем размере:

• для должностных лиц ― при первом нарушении 8-20 тысяч рублей, при повторном ― 30-50 тысяч рублей;
• для ИП ― при первом нарушении 20-40 тысяч рублей, при повторном ― 50-100 тысяч рублей;
• для организаций ― при первом нарушении 50-90 тысяч рублей, при повторном ― 300-500 тысяч рублей.

В случае, если персональные данные уволенного работника продолжают обрабатываться, но у работодателя нет соответствующего основания для их обработки ― например, согласие на обработку персональных данных не было получено изначально, но законом установлена необходимость его получения, ― существует риск привлечения к ответственности по ч. 1 и 1.1 ст. 13.11 КоАП РФ:

• для должностных лиц ― при первом нарушении 10-20 тысяч рублей, при повторном ― 20-50 тысяч рублей;
• для ИП ― при первом нарушении 10-20 тысяч рублей, при повторном ― 50-100 тысяч рублей;
• для организаций ― при первом нарушении 60-100 тысяч рублей, при повторном ― 100-300 тысяч рублей.

Однако более вероятно привлечение организации к ответственности по ч. 2 и 2.1 ст. 13.11 КоАП РФ, предусматривающие штраф за обработку ПДн в отсутствие письменного согласия в случаях, когда его получение предусмотрено законодательством, поскольку в силу норм трудового законодательства согласия работников необходимо получать в письменной форме.

Важно учитывать и возможность мультипликации наказаний, когда за нарушение прав каждого из субъектов персональных данных по одной и той же части ст. 13.11 КоАП РФ на работодателя может налагаться самостоятельный штраф.

Чтобы избежать штрафных санкций, придерживайтесь сроков уничтожения ПДн, корректно оформляйте акты по уничтожению. Также будет не лишним периодически проводить внутренний аудит компании в целях проверки на возможное хранение личных сведений, которые не были уничтожены своевременно.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме