При приеме на работу гражданин дает согласие на обработку персональных данных, которое в дальнейшем хранится в личном деле сотрудника в запираемом шкафу в отделе кадров. При проверке личных дел инспектор указала на нарушение ведения личного дела работника учреждения, а именно: "с работника при приеме на работу получено согласие на обработку персональных данных, которое хранится в личном деле". Политикой в отношении обработки персональных данных, утвержденной в учреждении, конкретно не указано, где должно храниться согласие работника на обработку его персональных данных. Как правильно хранить согласие на обработку персональных данных работника?

Письменное согласие работника на обработку его персональных данных является документом (материальным носителем информации), содержащим идентификаторы физического лица, перечень которых приведен в ч. 4 ст. 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ)*(1) (фамилию, имя, отчество, адрес проживания, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе и пр.).
Хранение документов, содержащих персональные данные работников, представляет собой частный случай их обработки (п. 3 ст. 3 Закона N 152-ФЗ).
Статьей 87 ТК РФ предусмотрено, что порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов. В соответствии с п. 8 части первой ст. 86 ТК РФ работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Закон N 152-ФЗ предписывает, что хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных (ч. 7 ст. 5 Закона N 152-ФЗ).
На работодателя как оператора персональных данных возлагается обязанность в числе прочих издания документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений (п. 2 ч. 1 ст. 18.1 Закона N 152-ФЗ).
Согласно пп. 13-15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. N 687, обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
Таким образом, порядок хранения документов, содержащих персональные данные, включая согласия на обработку персональных данных, места их хранения оператор определяет самостоятельно с учетом приведенных норм. Способы легализации такого порядка могут быть любыми: приказ, распоряжение, включение разделом в Положение об обработке персональных данных в организации и т.п. При этом работники должны быть ознакомлены с установленным порядком под подпись.
Отметим, что действующее законодательство не содержит запрета на хранение согласия на обработку персональных данных работника в его личном деле. Полагаем, не лишним будет утвердить документ, регламентирующий порядок ведения личных дел работников, и перечень документов, включаемых в состав личного делам.

Рекомендуем также ознакомиться с материалами:
- Вопрос: Какие документы должны быть в личных делах работников бюджетного учреждения? (ответ службы Правового консалтинга ГАРАНТ, март 2021 г.)
- письмо Министерства цифрового развития, связи и массовых коммуникаций РФ от 28 августа 2020 г. N ЛБ-С-074-24059 "О методических рекомендациях".

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса

Ответ прошел контроль качества

6 декабря 2022 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. 

-------------------------------------------------------------------------
*(1) Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены приказом Роскомнадзора от 24 февраля 2021 г. N 18.