Сценарии управления персональными данными уволенного работника

Навигация

Цель: исключить утечку ПДн сотрудников и клиентов, а также коммерческой информации, выполнить требования № 152-ФЗ. Триггер: вы, как HR, получаете заявление об увольнении или подписываете соглашение.

ШАГ 1: Инициирование процесса

Кадры/HR — дирижер всего процесса. Ваша задача не только издать приказ, но и запустить механизм во всех службах.

Действие: в день получения заявления сразу создайте задачу в вашей системе (например, Битрикс24, Jira, Яндекс.Трекинг) или отправьте формализованное уведомление всем ключевым отделам.

Кому рассылается (одновременно!):

1. ИT отдел/ Служба ИБ.
2. Административно-хозяйственный отдел (АХО).
3. Бухгалтерия.
4. Служба безопасности (СБ) / Руководитель подразделения.
5. Маркетинг (PR/отдел маркетинга).

ШАГ 2: Действия отделов

ИT отдел / Служба ИБ

Технические исполнители и главные защитники ПДн:

1. Заблокировать все учетные записи (почта, мессенджеры, CRM, ERP, 1С, и пр. ИСПДн) в день увольнения, а лучше в последний рабочий день.
2. Отозвать/удалить доступы к сетевым папкам, базам данных, облачным сервисам, соцсетям компании, платежным системам.
3. Изъять корпоративное оборудование (ноутбук, телефон, пропуск, токены) до выдачи трудовой книжки. Проверить на наличие чужих файлов и изменений (убедиться, что ни детали не менялись, ни вредоносные программы не устанавливались — устройство должно быть в том же состоянии, в котором было выдано).
4. Архивировать почту и личные файлы в защищённое хранилище. Если почта обезличена — сменить пароль и перенаправить письма руководителю.
5. Заблокировать записи в 1С по поручению главного бухгалтера после закрытия периода.
6. Обезличить данные в аналитике — заменить ФИО на коды в отчётах и CRM.
7. Вести журнал операций и хранение логов.
8. Уничтожить архивы через 1–3 года с составлением с условиями внутренних ЛНА, выгрузкой из журнала событий ИС и оформлением акта в соответствии с требованиями приказа Роскомнадзора № 179.

HR-отдел

Определяем судьбу ПДн, включая личное дело.

В день увольнения:

1. Провести exit-интервью, напомнить о конфиденциальности и ответственности за разглашение ПДн.
2. Выдать документы работнику только после подтверждения от ИT и АХО о блокировке учетных записей и и возврате целым-неизменным оборудования.

После увольнения:

1. Уничтожить ПДн: анкеты, копии личных документов (дипломы, удостоверения), таблицы с личными данными — в течение 30 дней, оформив Акт уничтожения ПДн в соответствии с приказом Роскомнадзора № 179 и внутренними ЛНА.
2. Изъять оригиналы из личного дела (приказы, трудовой договор, допсоглашения) и передать их в соответствующие номенклатурные дела согласно ПТУД (приказ Росархива № 236).
3. Сформировать ЛД для архива: включить заверенные копии приказов о приёме (дата начала ЛД) и увольнении (дата закрытия ЛД), внутреннюю опись, лист-заверитель.
4. Документы со сроком хранения менее 10 лет (докладные, объяснительные) изъять и хранить отдельно (организовать временное хранение), после истечения срока и решения комиссии по определении ценности документа уничтожить по Акту в соответствии с приказом Росархива № 77.

Философский вопрос: если после чистки в ЛД остаются лишь копии приказов, которые уже хранятся в оригиналах, — так ли нужно личное дело в организации, если вы Не ГС и МС?

Бухгалтерия

Хранители финансовой истории. Кроме обязанности произвести полный расчёт с работником, в т.ч. по налогам и взносам, именно на них:

1. После закрытия отчётного периода поручить ИT заблокировать записи в 1С и др. ИСПДн, а также заархивировать или аномизировать (обезличить) данные уволенного в зарплатных ведомостях в ИС (для внутренней отчетности).
2. Уничтожить рабочие копии личных документов и таблицы с ПДн в течение 30 дней, оформив Акт уничтожения ПДн согласно приказу Роскомнадзора № 179.
3. Ограничить круг лиц с доступом к «замороженным» данным.
4. Организовать временное хранение документов с ПДн сроком до 5 лет, затем уничтожить по акту приказа Росархива № 77.

Маркетинг (PR/отдел маркетинга)

Ответственные за публичный образ компании. Что нужно сделать:

1. Удалить или обезличить информацию со страницы «Команда» на сайте и в соцсетях.
2. Отредактировать новости и кейсы, убрав прямые упоминания ФИО, фото и пр., оставив или заменив на должности.
3. Исключить email и телефон сотрудника из всех баз рассылок и контактных листов.
4. Обновить контактные данные в рекламных кабинетах и на посадочных страницах.

АХО / Служба безопасности

Физический барьер на выходе.

1. Изъять пропуск, ключи, ежедневники, визитки.
2. Деактивировать пропуск в СКУД (логи хранятся постоянно).
3. Обеспечить присутствие при сборе вещей при необходимости.

Охрана труда

Архивация специальной документации:

1. Организовать архивирование документов длительного срока хранения (карточки СИЗ, журналы инструктажей - срок 10+ лет) по правилам ПТУД.
2. Организовать временное хранение документов сроком менее 10 лет (медзаключение - 5 лет), а затем по правилам и форме Акта из приказа Росархива № 77 уничтожить документы.

ШАГ 3: Контроль

Регулярно (например, раз в квартал) HR, совместно с ИТ (и маркетингом) проверяют выполнение всех процедур и проводят ревизию на наличие остаточных данных уволенных сотрудников:

• учётных записей и баз данных (ИT);
• публичных материалов на сайте и в соцсетях (маркетинг);
• контактных данных в рассылках (маркетинг).

Если вы — не только кадровик/HR, но еще и DPO (Ответственный за организацию обработки персональных данных) и хотите подробно понять работу на стороне ИT/ИБ — напишите в комментариях DPO+. Подготовлю отдельный пост с инструкциями и чек-листами.

Кадровый аудит — экспертная колонка Татьяны Совиной:

• Разборки с дактилоскопией или как получить официальное «да» для СКУД от Минцифры
• Согласие на обработку персональных данных в трудовом договоре
• Все статьи колонки "Совина ПроКадры — экспертная колонка Татьяны Совиной"