Кадровая служба (отдел кадров или HR-отдел) всегда работает с персональными данными работников и кандидатов, поэтому обязана вести комплект документов, подтверждающих законность обработки данных и выполнение требований ФЗ-152.
В кадровой службе должны быть:
- Приказы и назначения:
- приказ о назначении ответственного за обработку ПДн;
- приказы о допуске сотрудников к работе с ПДн.
- Локальные акты и регламенты:
- политика в отношении обработки ПДн;
- положение о защите и обработке ПДн работников;
- регламент обработки трудовых данных, включая сроки хранения.
- Документы сотрудников:
- согласия работников на обработку их ПДн (в том числе фото, биометрии, передачу в госорганы, публикацию);
- обязательства работников о неразглашении ПДн;
- личные дела сотрудников с учетом требований защиты.
- Учётные формы и журналы:
- реестр согласий работников;
- журнал инструктажей и обучений по защите ПДн;
- журнал обращений работников как субъектов ПДн;
- акты уничтожения или передачи ПДн при увольнении.
- Договоры и соглашения:
- договоры поручения на обработку ПДн с внешними организациями (например, аутсорс-бухгалтерия, охранная фирма);
- документы о передаче данных в госорганы (ФНС, ПФР, ФСС, Росстат).
Таким образом, кадровая служба должна хранить как нормативно-правовые акты, так и рабочие журналы, акты и согласия сотрудников.
Обоснование по законодательству
- Ст. 86 Трудового кодекса РФ — работодатель обязан обеспечивать защиту ПДн работников.
- Ст. 87 ТК РФ — закрепляет правила хранения и использования персональных данных работников.
- Ст. 18.1 и ст. 22.1 ФЗ-152 — оператор обязан принимать организационные меры и документально подтверждать их выполнение.
- Постановление Правительства РФ № 1119 — требует ведения документов, регламентирующих защиту ПДн.
Практика проверок Роскомнадзора
РКН при проверках в первую очередь запрашивает у кадровой службы: согласия работников, положение о защите ПДн, приказы о назначении ответственного и журналы инструктажей. В медицинской клинике, например, проверка выявила отсутствие согласий на фото и видео сотрудников — это признали нарушением. В другой организации, где весь пакет был собран и актуализирован, проверка прошла без предписаний.
Что важно учитывать компаниям
- Наличие документов — не формальность: их отсутствие в кадровой службе квалифицируется как нарушение ФЗ-152 и ТК РФ.
- Все согласия работников должны быть индивидуальными и храниться в личных делах.
- Журналы инструктажей и обращений работников должны регулярно обновляться.
Рекомендации и выводы
Да, в кадровой службе должен быть полный пакет документов по ПДн, включающий локальные акты, приказы, журналы, согласия и договоры. Рекомендуем:
- Проверить наличие согласий работников на все виды обработки ПДн.
- Утвердить положение об обработке ПДн работников.
- Вести журналы учёта и инструктажей.
- Включить кадровый пакет в общий комплект документов по ФЗ-152.
Компания ICTech поможет вашей организации разработать и внедрить полный набор кадровых документов по ПДн, включая согласия, журналы и приказы, чтобы пройти проверку Роскомнадзора без нарушений.
