Кадры / HR
Читать далее »
Хранение персональных данных — это не просто складывание файлов в папки на сервере. Это целый процесс, связанный с обеспечением конфиденциальности, ограничением доступа, соблюдением сроков и защитой от утечек. Закон трактует это как обязательство оператора не только аккумулировать информацию, но и отвечать за то, как долго и где она находится, в каком виде и кто может к ней прикасаться.
Персональные данные могут храниться на бумажных носителях (документы, анкеты, заявления) и в электронных системах — от простых таблиц до сложных CRM и HRM-платформ. Закон не делает разницы между формами — в любом случае должны быть соблюдены правила безопасности и доступа. Особенно важно обеспечить защиту сетевых хранилищ и серверов, если данные доступны онлайн.
В организациях, особенно крупных, персональные сведения работников размещаются в кадровых системах, личных делах и внутренней документации. Все эти источники должны быть защищены от несанкционированного доступа, изменения или копирования.
Срок хранения персональных данных зависит от цели их обработки. Если данные были получены для заключения трудового договора, то они могут храниться в течение всего периода действия трудовых отношений, а после увольнения — ещё 75 лет, если речь о кадровых документах. Это не значит, что все данные остаются в активном доступе. Многие из них должны быть заархивированы или перенесены в отдельное хранилище с ограниченным доступом.
Если персональные сведения обрабатывались на основании согласия — после отзыва такого согласия данные должны быть удалены. Исключение — случаи, когда другой закон требует сохранить информацию дольше (например, налоговое или бухгалтерское законодательство).
Каждая организация обязана определить порядок хранения ПДн и закрепить его внутренними документами. Это включает:
Даже если у компании всего 3 сотрудника, эти правила обязательны. При проверке Роскомнадзор будет ориентироваться не на масштаб бизнеса, а на соблюдение норм.
Работодатели обязаны сохранять целый массив данных о сотрудниках: от паспортных сведений до информации о зарплате, семейном положении и образовании. Эти данные нельзя хранить в открытом доступе, пересылать в незащищённом виде по электронной почте или использовать в других целях (например, маркетинговых), если это не предусмотрено законом.
Внутри организации важно установить порядок доступа — кто именно из кадровой или бухгалтерской службы имеет право просматривать те или иные документы. Это тоже должно быть зафиксировано в локальных актах.
Самые частые ошибки:
За подобные нарушения предусмотрены административные штрафы (до 100 000 руб.), а также блокировка доступа к данным или даже запрет на обработку.
Чтобы избежать проблем, важно:
Если организация использует внешние сервисы (например, облачные системы), важно убедиться, что они тоже соответствуют требованиям 152-ФЗ.
| Аспект | Требования |
|---|---|
| Место хранения | Защищённые серверы, сейфы, архивы, зашифрованные облачные хранилища |
| Доступ | Только у уполномоченных сотрудников |
| Срок хранения | В зависимости от цели (до 75 лет — для кадровых документов) |
| Удаление данных | Обязательно по истечении цели или при отзыве согласия |
| Защита | Шифрование, антивирус, контроль доступа, физическая охрана |
| Документы | Положение о хранении ПДн, приказы, регламенты, журналы доступа |
