Перед тем, как получить персональные данные от работника, необходимо получить от него письменное согласие на получение и обработку персональных данных.
Хранить персональные данные нужно не дольше, чем этого требуют цели обработки. Если достигли цели, уничтожьте информацию и ее носители в 30-дневный срок (ч. 4 ст. 21 Закона № 152-ФЗ). И это касается даже анкет, которые содержат персональные данные соискателей, за исключением претендентов на должности госслужбы (п. 5 Разъяснений).
30-дневный срок не действует, когда период хранения персональных данных определяет закон или договор. Например, если сотрудника уволили из компании, уничтожать его персональные данные не нужно. Работодатель обязан хранить архивные документы, в том числе по личному составу, в течение установленных сроков. Так, приказы о приеме и увольнении хранят 75 (50) лет.
Огромный риск представляют личные дела работников, в которых кадровики хранят копии документов, содержащих персональные данные: паспортов, СНИЛС, ИНН, дипломов и т. д. Даже с согласия сотрудника оставлять в отделе кадров такие копии небезопасно. Роскомнадзор может признать, что компания собирает избыточные персональные данные. За это грозит предупреждение или штраф:
- для должностных лиц — от 5000 до 10 000 рублей;
- для юридических лиц — от 30 000 до 50 000 рублей (ч. 1 ст. 13.11 КоАП).
Суды в спорах поддерживают надзорный орган. Поэтому избавьтесь от копий документов, когда достигнете целей, для которых их получали. Не принимайте решение об уничтожении персональных данных и их носителей единолично. Для этого в компании создают специальную комиссию, о чем издают приказ в произвольной форме. Результаты работы комиссии фиксируют в акте или журнале об уничтожении персональных данных (информация Роскомнадзора от 25.09.2015).
В личных делах сотрудников можно хранить копии приказов, договоров, заявления и другую информацию, касающуюся непосредственно работы сотрудника.
