Помните, мы проводили опрос и просили вас выбрать тему для следующего разбора?
По итогам голосования победила тема: «Как задать сроки хранения и удаление ПДн для HR без автоматизации?»
Разбираем ее ниже, как и обещали ⤵️
Как задать сроки хранения и удаление ПДн для HR без автоматизации❓
При выборе срока главный ориентир — разумность и необходимость срока: он должен быть не дольше, чем это необходимо для поставленной цели.
При этом в законе есть основные сроки, на которые кадровым работникам нужно ориентироваться:
🔵30 дней после достижения цели.
Это общее правило (ч. 4 ст. 21 152-ФЗ): если цель достигнута и нет иных оснований для обработки, данные уничтожаются в течение 30 дней.
🔵3 месяца для данных кандидатов после собеседования.
Этот срок прямо не закреплен для соискателей, но вытекает из трудового законодательства.
Статьи 391-392 ТК РФ устанавливают право на обращение субъекта в суд за разрешением спора в течение 3 месяцев с момента, когда субъект узнал или должен был узнать о нарушении своего права.
🔵10 дней при выявлении неправомерной обработки.
Если данные обрабатывались неправомерно (и при этом легализовать обработку невозможно), их необходимо уничтожить в течение 10 дней с обязательным уведомлением субъекта (его представителя и направивший запрос орган) об уничтожении данных (ч. 3 ст. 21 152-ФЗ).
🔵До 6 месяцев, если уничтожение невозможно.
Если по каким-то причинам нет возможности уничтожить данные сразу после истечения срока обработки, они блокируются и уничтожаются не позднее 6 месяцев.
🔵50/75 лет для архивного хранения документов по уволенным работникам.
После увольнения часть документов уходит в архивное хранение: срок составляет 50 или 75 лет, в зависимости от даты окончания делопроизводства. Личные документы хранятся до востребования а затем также согласно архивному законодательству.
Частая ошибка HR — хранение данных на всякий случай. Конечно, выгоднее хранить резюме как можно дольше, но по закону это запрещено.
Что делать? Создавать кадровый резерв, в положении и оферте/согласии указывать нужный срок (но он не может быть бессрочным), получать согласие или акцепт оферты у кандидата на внесение в кадровый резерв и... готово, вы легализовали хранение данных кандидатов.
Определить сроки, не указанные в законе, помогут следующие вопросы:
➡️ какая ваша настоящая конечная цель обработки данных?
➡️ охватывают ли эту цель уже полученное согласие или иное основание обработки?
➡️ есть ли законное основание, позволяющее обрабатывать данные за рамками минимального срока? Если да, какой это срок? Если нет, можете ли вы создать для себя такое основание с другими сроками (например, создание кадрового резерва)?
Как настроить уничтожение данных после истечения срока:
С автоматизированными решениями все просто: в большинстве случаев прямо в программе возможно настроить автоудаление или автоуничтожение данных.
Для информации, находящейся исключительно на бумаге, есть свои требования к обработке: хранение только в закрытых помещениях, шкафах, сейфах и т.д. Для отслеживания уничтожения таких данных можно вести журнал со сроками обработки, а затем уничтожать любым способом, не позволяющим восстановить сведения (например, шредирование/сжигание).
С 1 марта 2023 года факт уничтожения персональных данных должен подтверждаться по требованиям приказа Роскомнадзора от 28.10.2022 № 179. Для неавтоматизированной обработки подтверждающим документом является акт, а для автоматизированной — акт и выгрузка из журнала регистрации событий в информационной системе.
