Чем определяется срок хранения персональных данных
Хранение персональных данных
Грамотное организованное хранение документов, содержащих персональные данные, — залог того, что конфиденциальная информация о сотрудниках, клиентах и в целом деятельности организации не попадет в руки посторонних лиц. Ответственность за определение правил, места размещения и защиты информации ложится, согласно закону, на работодателя, однако не все четко понимают, о каких нюансах нужно позаботиться. Добавляют сложностей постоянные дополнения и корректировки нормативно-правовых актов, которые приходится отслеживать, чтобы не получить штраф и не попасть в эпицентр скандала, связанного с распространением личных сведений граждан.
Разберемся, как и где хранить персональные данные, чтобы спокойно проходить проверки и поддерживать имидж серьезной компании, которая заботится об информационной безопасности. Более конкретные рекомендации работодатели или их представители могут получить, воспользовавшись услугами наших экспертов, которые проанализируют текущее положение дел и составят список необходимых изменений.
Существуют ли четкие правила хранения персональных данных?
Многие начинающие бизнесмены полагают, что для урегулирования вопросов, касающихся операций с ПДн, есть четкие инструкции, используя которые получится сформировать четкие правила и привести деятельность в соответствии с законодательными требованиями. На практике единого подхода к решению вопроса нет. Это значит, что каждый руководитель или ИП самостоятельно (или делегируя обязательства на заместителя либо руководителя отдела кадров):
Ответственный подход на начальном этапе дает возможность в будущем не вносить радикальных изменений даже при изменении нормативно-правовой базы. Для того, чтобы все сделать правильно, необходимо принимать в расчет актуальные предписания относительно работы архивов, ограничения доступа к информации разных категорий сотрудников, а также ранее установленный порядок сбора и обработки ПДн (он должен быть закреплен в локальном акте или распоряжении). Еще один существенный момент заключается в том, чтобы политика по данному вопросу учитывала способ выполнения операций (в рамках ИСПДн либо на бумажных носителях).
Важные нюансы, связанные с порядком хранения персональных данных
Для того чтобы гарантировать сохранность и секретность ПДн, необходимо:
При урегулировании вопроса хранения личной информации необходимо понимать, что это не однократная работа, а постоянные усилия, направленные на поддержание информационной безопасности. Каждый год появляются новые угрозы и требования, которым приходится соответствовать, чтобы, во-первых, не платить огромные штрафы, а во-вторых, чтобы не быть хуже конкурентов и рассчитывать на доверие со стороны клиентов и партнеров.
Какой должна быть система хранения персональных данных
Основная нагрузка по работе с ПДн ложится на плечи кадрового департамента, поэтому его работники должны иметь точное представление о том, что и как делать для предупреждения несанкционированного доступа. Законодательной базой является Конституция, ФЗ-152, ФЗ-149, Трудовой Кодекс и другие нормативные акты. Особое внимание должно уделяться срокам хранения, передачи и обработки персональных данных. На сегодняшний день правовые нормы определяют следующие требования:
Существует разница между сроком действия согласия на обработку ПДн и длительностью сохранения самих данных. Хранение персональных данных — это процесс, регулируемый законодательством, решением владельца и целями использования сведений. ФЗ-152 закрепляет обязанность оператора сразу после достижения цели обработки обезличить и уничтожить полученные данные.
Все работники, как штатные, так и внештатные, которые работают с личными сведениями, должны подписать соглашение о неразглашении. Типовой документ необходимо предварительно адаптировать под особенности деятельности фирмы.
Сбор, обработка и хранение персональных данных на бумажных и электронных носителях
Выделяют сведения о субъектах, сохраняемые в бумажном и электронном виде. Каждый вариант есть свои плюсы, минусы и особенности. Нередко информация дублируется для эффективного выполнения рабочих задач и в целях безопасности.
Обработка и хранение персональных данных: составление внутренних правил
Документ преимущественно составляют по шаблону, внося некоторые корректировки в зависимости от формы, способа фиксации ПДн и других особенностей деятельности организации. Основные разделы:
После внедрения правил хранения персональных данных в информационных системах и на бумажных носителях необходимо убедиться в том, что:
Хранение персональных данных в организации
Для тех, кто намерен заняться бизнесом или организовать работу некоммерческой организации, в том числе заниматься продажей товаров через Интернет, важно продумать, каким образом будет обеспечено правильное хранение и использование персональных данных работников и клиентов. Существуют требования, четко прописанные в ФЗ-152 и других нормативно-правовых актах, но многое остается на усмотрение руководителя компании или предпринимателя. Во втором случае законом прописана необходимость достижения определенного результата, например, предупреждения несанкционированного доступа к физическим и электронным носителям, но как этого достигнуть, придется решать самостоятельно.
Определить порядок хранения персональных данных в организации на начальном этапе функционировании организации требуется по нескольким причинам:
Какие сведения в организации относятся к ПДн?
Определение понятия «персональные данные» изложено в ФЗ-152 от 27 июня 2006, согласно которому это любые сведения, напрямую или косвенно касающиеся гражданина. Более конкретным является определение, предоставляемое Роскомнадзором, в соответствии с которым к ПДн относится информация, позволяющая произвести идентификацию личности без дополнительных уточнений: Ф.И.О., мобильный номер, серия и номер паспорта, биометрика, СНИЛС, пароли к аккаунтам, ИНН и т.д. Отдельно прописываются операции, которые можно с ней осуществлять. Сведения можно собирать, синхронизировать, обновлять, копировать, передавать, извлекать, удалять, обезличивать, блокировать, использовать и уничтожать.
Все фирмы и учреждения, которые нанимают подрядчиков, формируют штат сотрудников или предлагают клиентам заключить договор на предоставление услуг, а также владельцы сайтов с формами обратной связи являются операторами ПДн. Каждому из них предстоит разобраться, где и как правильно должны храниться персональные данные сотрудников, клиентов и партнеров. С целью минимизации или исключения ошибочных действий, следует сориентироваться в законодательных требованиях, подобрать оптимальный вариант сохранения сведений (на бумажных либо на электронных носителях), определиться с количеством сотрудников в штате и направлением деятельности, а затем приступать к непосредственным действиям по обеспечению защиты конфиденциальной информации. Будьте готовы к тому, что на разработку как технических мер информационной безопасности ПДн, так и приведение бизнес-процессов компании в соответствие с положениями ФЗ-152 придется выделить дополнительные финансовые ресурсы и время.
Хранение персональных данных работников
Работодатель несет ответственность за информацию, которую получает от нанимаемого персонала, причем это касается всех категорий сведений, начиная от семейного положения и образования, заканчивая адресом проживания и прошлыми местами трудоустройства. В список документов, содержащих ПДн, за которые отвечает руководство компании, входят:
Для принятия на работу будущий сотрудник должен предоставить документы в бумажном либо электронном виде в установленной законом форме. Обязательным является заполнение формы Т-2, где предстоит указать общие сведения и информацию о приеме на ту или иную должность. В будущем именно в личную карточку вносят пометки о смене департамента или специализации, повышении или понижении в должности, прохождении аттестации, повышении квалификационного уровня, переподготовке, наградах и социальных гарантиях. Дополнительно прописывается контактный телефонный номер и место проживания (формальное и фактическое).
Организация учета и хранения персональных данных в соответствии с законодательными нормативами — зона ответственности работодателя, которому предстоит:
Естественно, часть вопросов можно переложить на плечи подчиненных, но вот подписывать внутренние положения, приказы и т.д. должен именно руководитель, и ему необходимо четко понимать, как устроен процесс обеспечения безопасности ПДн.
Основные правила хранения и использования персональных данных оператором
В зависимости от сферы деятельности, масштабов организации и других факторов система обработки личной информации может существенно отличаться. Часть компаний предпочитает «по старинке» использовать бумажные носители, другие переходят в полностью электронный формат работы, хотя чаще всего наблюдается комбинированный вариант. ФЗ-152 и правительственными постановлениями предусмотрены общие условия хранения персональных данных в организации, которых должны придерживаться все:
Инструкция, как организовать хранение и использование персональных данных
И в ФЗ-152, и в ТК РФ четко прописано, что за безопасность личных сведений несет ответственность руководитель организации, которому для выполнения всех правил необходимо:
После исполнения всех требований, предъявляемых к операторам ПДн, необходимо осуществлять контроль над соблюдением прописанных в локальных актах правил, а также отслеживать изменения в нормативно-правовой базе. Для того чтобы поддерживать процесс обработки ПДн в организации в соответствие действующим требованиям необходимо периодически проводить независимый аудит, что позволит своевременно выявлять и устранять ошибки и несоответствия в документах, тем самым гарантируя сохранность и защиту персональных данных сотрудников и клиентов.
Раздел V. Сроки обработки и хранения персональных данных
Раздел V.
Сроки обработки и хранения персональных данных
29. Сроки обработки и хранения персональных данных определяются в соответствии с требованиями части 7 статьи 5 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
30. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект.
31. Сроком обработки персональных данных сотрудников является срок замещения ими соответствующей должности. Срок хранения бумажных носителей персональных данных сотрудников составляет 50 (пятьдесят) лет.
32. Сроком обработки и хранения персональных данных претендентов, включенных в кадровый резерв на государственной гражданской службе Тверской области или резерв управленческих кадров Тверской области, является срок их нахождения в соответствующем резерве.
33. Сроком обработки персональных данных претендентов, не допущенных к участию в конкурсных процедурах, и претендентов, участвовавших в конкурсных процедурах, но не прошедших конкурсный отбор, является срок проведения конкурсных процедур. Персональные данные претендентов, не допущенных к участию в конкурсных процедурах, и претендентов, участвовавших в конкурсных процедурах, но не прошедших конкурсный отбор, хранятся на бумажных носителях в течение трех лет со дня завершения конкурса, если они не были возвращены по письменным заявлениям претендентов.
34. Сроки обработки и хранения персональных данных, предоставляемых субъектами операторам в связи с получением государственных услуг и исполнением государственных функций, определяются нормативными правовыми актами, регламентирующими порядок предоставления государственных услуг или исполнения государственных функций.
35. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением операторами государственных услуг и исполнением государственных функций, хранятся на бумажных носителях у соответствующего оператора, к полномочиям которого относится обработка персональных данных в связи с предоставлением государственной услуги или исполнением государственной функции, в соответствии с утвержденным положением о соответствующем операторе.
36. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители операторов.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Хранение персональных данных клиентов
Решая проблему хранения и защиты персональных данных в организации, нужно отдельно уделить внимание организации процесса работы с информацией, получаемой от клиентов. Несмотря на то, что в отношении подобных сведений действуют те же принципы, что и для ПДн сотрудников, в данном вопросе присутствует множество тонкостей, в особенности если речь идет об интернет-магазинах, блогах, форумах или фирмах, заключающих контракты онлайн. Решение данных вопросов займет немало времени и усилий, однако в этом случае со стороны проверяющих структур не будет возникать претензий в части обработки ПДн (минимизация рисков наложения штрафов), а заказчики смогут быть уверенными в надежности организации.
Что подразумевают под ПДн клиентов?
По мере усиления контроля со стороны государства в сфере сохранения конфиденциальности информации о гражданах все больше компаний осознают необходимость исполнения своих обязанностей в качестве оператора ПДн. Но для того, чтобы выполнить все требования, прописанные в ФЗ-152 и других нормативно-правовых актах, нужно разобраться, что входит в состав персональных данных клиента. Сложностей добавляет тот факт, что границы данного понятия до конца не определены, хотя в законе прописано четкое определение. На практике к числу обрабатываемых и хранимых личных сведений фирмы могут относить:
Чтобы не нарушать правовые нормы, все виды ПДн клиентов нужно прописать во внутреннем документе предприятия — порядке хранения и защиты, а также указать их при регистрации в Роскомнадзоре. Если получать и сохранять персональную информацию о субъектах шире заявленного перечня, то есть риск получения штрафов и существенного репутационного ущерба. В законодательстве присутствует одна особенность, которая заключается в том, что каждая разновидность информации не подпадает под понятие ПДн. Лишь совокупность сведений, по которому можно идентифицировать субъекта, как персону можно отнести к ПДн, например, данные о номере телефона номер телефона в сочетании с информацией об имени человека с названием компании, в которой он работает. Также под категорию персональных не подпадают сведения, размещенные их владельцем в социальных или иных сетях общего доступа, за исключением «ВКонтакте».
Во всех остальных случаях действуют положения ФЗ-152 и подзаконных актов, которые оператору нужно выполнять.
Важность обеспечения защиты личной информации
Государство требует от операторов уничтожать или обезличивать ПДн после достижения целей их обработки, при этом период их хранения может быть весьма длительным. С момента получения от субъекта идентифицирующей информации компания несет ответственность за её безопасное хранение, что предполагает разработку и внедрение определенных защитных мер, а также использование специальных средств. Этому аспекту деятельности нужно уделять особое внимание, поскольку персональные данные могут быть обнародованы, утеряны или переданы третьим лицам без согласия владельца. Эффективная политика защиты позволяет избежать:
Детально о том, как правильно хранить персональные данные клиентов
Независимо от специфики деятельности организации, в отношении операций с ПДн, включая хранение, нужно руководствоваться прописанными в законодательных актах правилами:
Юридически безопаснее не размещать на сайте формы для заполнения, а оставить ссылку либо е-мейл для отправки сведений.
Условия и особенности хранения данных о клиентах напрямую зависят от того, каким образом они были собраны:
Наказание за нарушение требований законодательства в отношении ПДн
За проверку условий хранения и защиты личных сведений граждан в организациях отвечает, прежде всего, Роскомнадзор, специалисты которого могут прийти к вам с плановым или внеплановым визитом (например, если поступило заявление о том или ином нарушении). На этот случай на предприятии должны быть внедрены и соблюдены организационные и технические меры защиты персональных данных. Организационные мероприятия внедряются после разработки организационно-распорядительной документации, которая описывает все бизнес-процессы предприятия в части обработки персональных данных. К техническим относится определение уровней защищенности информационных систем персональных данных на основе моделей угроз. В соответствие с уровнем защищенности подбираются и устанавливаются на компьютеры необходимое программное обеспечение для защиты.
Будьте готовы к тому, что проверяющие захотят увидеть сейфы и помещения, где находятся папки с договорами и т.д., а также убедиться в наличии пользовательского соглашения на интернет-ресурсе. Также контролирующие органы могут запросить воочию продемонстрировать каким образом и какие данные вносятся в ваши ИСПДн.
Обнаружение нарушений предполагает назначение штрафов в размере до 300 тысяч рублей. Минимальное наказание предусмотрено для физических лиц. При этом сумма может увеличиться в несколько раз, если нарушений много. Оспаривать решение контролирующего органа долго и, как правило, безрезультатно, поэтому разумнее изначально адаптировать работу компании под установленные требования. Проще всего это сделать, обратившись к экспертам в Центр безопасности данных.
Нюансы, которые нужно принимать во внимание
Разбираясь, как хранить персональные данные клиентов, следует учесть:
Даже при получении сведений через мессенджеры вы не освобождаетесь от ответственности за их сохранность несмотря на то, что фактически ПДн находятся на сервере другой фирмы
Какие оптимальные сроки хранения и обработки персональных данных? Сколько действует согласие субъекта?
В Российской Федерации функционирует понятие персональных данных, оно закреплено на законодательном уровне и сопряжено с рядом норматив.
Утвержден порядок хранения ПДн физических лиц и период, в который хранение должно быть прекращено.
Условия завершения обработки персональной информации или конкретные временные рамки операций определяют операторы в соответствии с профильными законодательными актами правительства. Актуальные сведения о сроках при работе с конфиденциальными данными в нашей стране, порядке из фиксации в документах вы найдете в нашем материале.
Временные рамки, связанные с ПДн
Положение 7 статьи 5 Федерального закона «О персональных данных» предусматривает среди принципов обработки и следующий – хранение ПДн должно осуществлять не дольше, чем того требуют цели операции с информацией.
Кроме этого, период хранения ПДн в некоторых случаях закрепляется федеральным законом, договором, субъектом которого является владелец персональных данных. Оператор устанавливает конкретные временные рамки или вписывает условие для прекращения обработки.
Что выбрать: время хранения или условия прекращения?
Закон позволяет выбрать либо конкретный период хранения данных, либо ограничить обработку наступлением определенного условия. Однако на оператора налагаются обязанности обязательно ограничить обработку данных по времени.
Юристы советуют использовать конкретный период прекращения обработки только в том случае – если сведения необходимы оператору для ограниченной цели.
Например, на сайте интернет-магазина проводится анкетирование, субъекту ПДн предлагается указать область проживания, покупки за последний год, возраст, ФИО и так далее. Магазин планирует использовать сведения для статистического анализа своей успешности за последний год. После завершения анализа, сведения ему больше не понадобятся и будут ликвидированы.
При составлении такого договора учитывается то, что на проведение анализа понадобится шесть месяцев. После этого интернет-магазин прекращает обработку данных, выполнив цель, с которой они были собраны. Для похожих прецедентов есть и другой вариант – установить условие завершения обработки, например, указать, что после проведения аналитических работ сведения прекратят обрабатывать.
Комбинированный вариант «условие + дата» используется довольно часто. Возьмем адвокатскую контору, планирующую хранить сведения о клиентах два года с момента последнего обращения. Тут присутствует сразу два критерия – два года (конкретный период) и определенное условие – отсутствие обращения в адвокатскую организацию.
Медицинские учреждения в нашем государстве, как правило, не ограничивают себя четкими сроками, поскольку законодательство обязывает их хранить сведения, касающиеся сферы здравоохранения, довольно долго. Закон дает возможность операторам выбирать, как именно устанавливать период – определяя временной отрезок обработки или событие, наступление которого будет означать прекращение обработки конфиденциальных сведений.
Оговариваемые периоды
Сколько действует согласие работника, клиента, пациента?
Независимо от сферы деятельности оператора, он обязан взять у субъекта персональных данных разрешение и указать период его действия.
Оператору предоставляется также два способа обозначить период действия разрешения субъекта – вписав четкую дату или воспользовавшись стандартной в юридической практике фразой: «Настоящее согласие действует с момента подписания и до дня отзыва». Желательно продумать и способ подачи отзыва, например, только в письменной форме.
Сколько должны храниться ПДн?
Подразумевается, что хранение оператор организует на период, необходимый для обработки ПДн.
Также важно, что в некоторых случаях фирма не работает со сведениями постоянно, и хранение сопряжено с задачей обеспечить доступ к персональным материалам в любое удобное время и в форме, делающей возможной их обработку.
В документации оператор обозначает сроки хранения, а также операцию, которая будет проведена после выполнения цели – обезличивание информации либо ее уничтожение. Отметим, что под обезличиванием сведений подразумевается перевод материалов в форму, не позволяющую распознать к кому она точно относится.
Какой период отводится на обработку?
Обработка данных непосредственно связана с хранением ПДн, ведь именно хранение обеспечивает доступ к данным с целью их обработки. В законе «О персональных данных» сказано, что оператор должен установить единый период для обеих операций. Если обработка прекращается с наступлением некоторого события, то оператор берет на себя обязанности в дальнейшем не хранить сведения.
Оператор не может указывать разные сроки или условия для прекращения хранения и обработки. Если хранение, например, прекращается после двух лет, то и обработка не может больше проводиться – по техническим причинам. Точно так же и период обработки связан с хранением.
Предположим, предприятие взяло на себя обязанности обрабатывать сведения на протяжении одного года, если после наступления этого срока он продолжит хранить информацию – значит нарушит условия соглашения с физическим лицом.
Возможно ли продление действия соглашения?
Оператор имеет право продлевать любой из периодов, указанных выше, но для этого компании следует выполнить несколько требований. Условия и нюансы продления срока прописываются в «Политике в отношении обработки персональных данных». Субъект ПДн, согласно действующему законодательству, имеет право в любой момент ознакомиться с этим документом.
Еще одна особенность заключается в том, что продление периода обработки или хранения сопряжено с появлением иных целей, но не выходящих за рамки закона.
Другими словами, оператору разрешается менять сроки, имея на то основания и продолжая использовать конфиденциальную информацию только в рамках актуальных законодательных актов.
Компания, собирающая персональные данные, вправе выбрать как автоматическое продление, например, данного субъектом разрешения, так и ручное (с дополнительным уведомлением). При этом, физическое лицо, владеющее информацией, не лишается возможности в любой момент отозвать согласие.
Как видите, профильный закон в Российской Федерации устанавливает четкие требования относительно указания периодов и дат хранения и обработки ПДн. Вместе с тем, на операторов налагается обязанность уведомить субъекта о времени действия его собственного соглашения на обработку информации.
Сама продолжительность хранения – законом не регламентируется, к ней предъявляется только одно требование: хранить не дольше, чем требуется для достижения целей обработки.