Какие оптимальные сроки хранения и обработки персональных данных? Сколько действует согласие субъекта?

Главная / Другое

Назад

Опубликовано: 09.03.2020

Время на чтение: 5 мин

0

2

• 1 Порядок хранения персональных данных работников
• 2 Правила хранения персональных данных
• 3 Кто имеет право обрабатывать и использовать персональные данные
• 4 Физическое хранение персональных данных
• 5 Хранение персональных данных в электронном виде
• 6 Срок хранения
• 7 Нормативные акты о защите данных

Порядок хранения персональных данных работников

Специальное нормативное положение, в котором определяются правила по распоряжению личной информацией сотрудников работодателем, предусматривает соблюдение определенных требований:

• конкретная форма, в которой хранятся личные данные сотрудников, должна соответствовать всем требованиям и полностью идентифицировать субъекта личной информации;
• срок сохранения информации не должен превышать времени, которого будет достаточно для воплощения целей, в соответствии с которой требуется обработка;
• данные необходимо уничтожать непосредственно после достижения всех целей, для которых была организована обработка информации;
• информация должна быть удалена в случае отсутствия необходимости дальнейшей обработки и использования данных.

Обработка, передача и защита личных сведений сотрудников поручается ответственному оператору, который должен соблюдать все правила и специальное законодательное положение. Если же по каким-либо причинам должностное лицо не может самостоятельно выполнять свои прямые обязанности, то он должен поручить обработку и защиту информационных данных иному сотруднику на основании официально заключенного договора.

https://www.youtube.com/watch?v=upload

Важнейшим условием данного документа является указание специальной обязанности, в соответствии с которой обеспечивается обработка, передача и защита личной информации при соблюдении конфиденциальности и полной безопасности.

Должностное лицо обязано соблюдать специальное положение, в котором регламентируется обработка, сохранение и защита личной информации, личных дел сотрудников. Правила и порядок эксплуатации должны соблюдаться стороной работодателей. Данные лица должны обеспечить выполнение следующих функций:

• составление и хранение первичной документации, которая издается в унифицированной форме;
• сохранность бумаг, в которых ведется учет рабочих кадров;
• хранение документации, в которой учитывается специфика распределения рабочего времени;
• сохранность пакета документов, в котором ведется расчет об оплате труда рабочему персоналу.

Порядок и срок сохранения личной информации гражданских служащих определяет трудовое законодательство, а также специальное ведомственное положение.

Что выбрать: время хранения или условия прекращения?

Закон позволяет выбрать либо конкретный период хранения данных, либо ограничить обработку наступлением определенного условия. Однако на оператора налагаются обязанности обязательно ограничить обработку данных по времени.

Юристы советуют использовать конкретный период прекращения обработки только в том случае – если сведения необходимы оператору для ограниченной цели.

Например, на сайте интернет-магазина проводится анкетирование, субъекту ПДн предлагается указать область проживания, покупки за последний год, возраст, ФИО и так далее. Магазин планирует использовать сведения для статистического анализа своей успешности за последний год. После завершения анализа, сведения ему больше не понадобятся и будут ликвидированы.

При составлении такого договора учитывается то, что на проведение анализа понадобится шесть месяцев. После этого интернет-магазин прекращает обработку данных, выполнив цель, с которой они были собраны. Для похожих прецедентов есть и другой вариант – установить условие завершения обработки, например, указать, что после проведения аналитических работ сведения прекратят обрабатывать.

Комбинированный вариант «условие + дата» используется довольно часто. Возьмем адвокатскую контору, планирующую хранить сведения о клиентах два года с момента последнего обращения. Тут присутствует сразу два критерия – два года (конкретный период) и определенное условие – отсутствие обращения в адвокатскую организацию.

Медицинские учреждения в нашем государстве, как правило, не ограничивают себя четкими сроками, поскольку законодательство обязывает их хранить сведения, касающиеся сферы здравоохранения, довольно долго. Закон дает возможность операторам выбирать, как именно устанавливать период – определяя временной отрезок обработки или событие, наступление которого будет означать прекращение обработки конфиденциальных сведений.

Правила хранения персональных данных

ТК РФ обязывает каждого работодателя разрабатывать правила использования и хранения данных о персонале на своем предприятии, учитывая требования федеральных законов.

Принятые соответствующие нормы и правила, могут содержаться в локальном акте фирмы о персональных данных. Чаще всего, таким документом становится Положение о защите персональных данных работников, но не запрещается включать данный раздел в Правила внутреннего распорядка.

Предлагаем ознакомиться Через сколько дней после подачи документов

Каждого сотрудника необходимо ознакомить с данным нормативным актом, поскольку ТК РФ прямо указывает на права работников участвовать в разработке мероприятий по обеспечению безопасности персональных данных.

Для сохранения конфиденциальности персональных данных составляется список должностных лиц, имеющих к ним доступ, и разрабатывается форма документа, к примеру, «Соглашение о неразглашении», которое подписывают не только рядовые работники-исполнители (специалист по кадровой работе, бухгалтеры и др.), но и руководители подразделений, генеральный директор предприятия.

Ответственность организации

Специалиста, ответственного за получение, обработку, хранение личных сведений, назначает директор учреждения. Также он определяет лиц, которым открыт доступ к информации. Документ нужно оформить приказом. Обычно за обработку сведений отвечают:

1. Руководители кадрового отдела.
2. Кадровые инспекторы.
3. Руководители по персоналу.
4. Заместители руководителей по персоналу.
5. Специалисты по работе с персоналом.

Основываясь на ФЗ №152, работник, выполняющий сбор и обработку личных данных, является оператором. Им и является руководитель. Цели обработки персональных данных в образовательном учреждении такие же, как и в организациях.

Кто имеет право обрабатывать и использовать персональные данные

Должностные лица, которые сталкиваются с обработкой и сохранением личной информации сотрудников, должны исполнять специальное положение. Подобные документы и правила составляются работодателем, а также чаще всего издаются в форме должностных инструкций, коллективных и индивидуальных трудовых договоров и др.

Хранение и использование личной информации сотрудников входит в компетенцию должностных лиц, которые назначаются непосредственно работодателем. В обязанности данных граждан входит соблюдение всех норм по обработке и распоряжению личными данными подчиненных. Законодательными актами регламентируется срок, правила, а также перечень лиц на руководящих должностях, которые должны работать с личной информацией сотрудников:

• главный специалист, который занимается защитой данных;
• заместитель директора, в обязанности которого входит администрирование персоналом;
• менеджер по управлению персоналом;
• начальных отдела кадров.

На предприятиях и в компаниях обработка и сохранение личной информации также поручается рядовым работникам, например, бухгалтерам, инженерам по защите информации, управлению и подготовке кадров, документоводам, специалистам по защите данных и др.

Рядовые исполнительные должностные лица также сталкиваются с использованием и защитой информации в процессе выполнения своих обязанностей, например, секретари, референты, инспекторы и др., которые принимают заявления и различные документы.

Принципы

Важно знать не только цели сбора и обработки персональных данных, но и принципы. Они указаны в ст. 5 гл. 2 ФЗ №152:

1. Важно соблюдение законности и добросовестности целей и методов обработки.
2. Соответствие целям, заявленным при сборе.
3. Соответствие объема и характера обрабатываемой информации, методов целям.
4. Достоверность сведений.
5. Недопустимость объединения баз для несовместимых целей.
6. Хранение в форме, которая позволяет определить субъекта данных, причем не дольше, чем этого требуют цели. Потом их уничтожают.

Цели обработки персональных данных работника достигаются с помощью условий, указанных в ст. 6 гл. 2:

1. Выполнение обработки с разрешения субъектов.
2. Если это поручено на основе договора другому лицу, то важно соблюдение конфиденциальности.
3. Обработка особой информации в специальном порядке.

Есть несколько исключений, когда разрешение субъекта не требуется. Это происходит тогда, когда:

1. Процедура осуществляется на основе ФЗ, который устанавливает ее цель, условия, круг субъектов, информация о которых подлежит обработке.
2. Все выполняется для исполнения договора.
3. Требуется выполнение статистических и других научных целей.
4. Необходима защита жизни, здоровья, жизненно необходимых интересов, если получить разрешение невозможно.
5. Выполняется доставка почтовых отправлений.
6. Осуществляется профессиональная деятельность журналиста.
7. Происходит обработка информации, подлежащей опубликованию на основе закона.

Физическое хранение персональных данных

Многие специалисты отдела кадров ведут личные дела работников традиционным способом и не желают от него отказываться.

Особенности этого заключаются в том, что вся информация о каждом работнике, представленная оригиналами и копиями документов накапливается в специально оформленной папке. При этом единых правил оформления личных дел в коммерческих организациях не существует.

Преимущества ведения личных дел:

• все данные о сотруднике находятся в одном месте;
• возможность четкой систематизации;
• быстрый поиск информации о конкретном человеке.

Недостатки хранения персональной информации с комплектованием личных дел:

• высокая трудоемкость (требуется регламент, подшивка документов, опись, сверка, архивирование);
• требуются дополнительные ресурсы (сейфы, отдельные помещения и т.д.);
• необходимы навыки работы с личными делами.

Предлагаем ознакомиться Выплачена заработная плата работникам

Часто персональная информация о работниках хранится на бумажных носителях, расположенных в разных тематических папках в соответствии с номенклатурой организации.

Все документы, касающиеся работников, одного назначения: трудовые договоры, документы анкетно-биографического характера, договоры материальной ответственности и т.д. размещаются в отдельные папки и выстраиваются в алфавитном порядке или по регистрационным номерам.

В сравнении с оформлением личных дел, такой способ хранения данных о работниках несет в себе меньше трудозатрат и не требует особых навыков от кадровика.

Однако раздельное хранение имеет и свои недостатки:

• поиск информации о сотруднике занимает много времени;
• существует более высокий риск раскрытия конфиденциальной информации.

Что думают ведомства?

Наличие различных законов и нормативно-правовых актов отражается на восприятии темы инспекторами различных ведомств. Так, например:

• Эксперты из Роскомнадзора
  настаивают, что организации не должны хранить документы, связанные с браком и детьми, несмотря на доводы о том, что именно эти данные часто нужны для расчета вычета и пособий;
• Инспекторы из налоговой
  отмечают, что при необходимости они могут проверить все документы, являющиеся основаниями для расчетов, самостоятельно, даже, если это касается уволенных сотрудников, а предоставление копии документы не является юридически значимым.
• В Федеральном Фонде Социального Страхования
  специалисты отмечают, что наличие документов о сотрудниках, даже уволенных, необходимо при камеральной проверке, иначе ревизор не может проверить обоснованность, например, выплат пособия сотруднику.

Хранение персональных данных в электронном виде

При таком способе хранении практически вся персональная информация хранится в электронном виде с использованием базы персональных данных и информационных систем.

Преимущества хранения информации на электронных носителях:

• нет необходимости в дополнительных ресурсах;
• экономится место и пространство;
• высокая скорость и удобство работы с персональными данными;
• повышенная степень защиты от несанкционированного доступа;
• срок хранения не ограничен сроками;
• не нужен большой архив.

Недостатки хранения информации в электронном виде:

• необходимо иметь резервные копии базы данных персонала;
• программное обеспечение и специальное оборудование стоит не дешево;
• требуется администрирование информационной системы;
• нужна высокая грамотность сотрудника, работающего с персональными данными.

Для того, чтобы защитить персональные данные, хранящиеся в электронном виде используют следующие методы:

• внедрение разрешительной системы допуска персонала к конфиденциальной информации;
• ограничение доступа сотрудников в помещения, где находятся технические средства, используемые для обработки личных данных;
• четкая организация хранения и учета информационных носителей и другие.

У каждого из рассмотренного способа хранения персональных данных работников на предприятии свои недостатки и преимущества. Часто на практике они сочетаются: ведутся и личные дела, и электронные базы данных персонала.

В любом случае работодатель должен иметь согласие работников на обработку их персональной информации.

Так же необходимо учитывать материальные возможности для обеспечения защиты и сохранности документов, трудозатраты и квалификацию персонала кадровой службы.

Способы обработки

Личные сведения обрабатывают 2 способами:

1. Автоматизированно.
2. Неавтоматизированно.

Второй вариант предполагает обработку, выполняемую с участием гражданина. Если это происходит без средств автоматизации, то данные нужно отделять от остальных сведений. Это выполняется с помощью отметки, например, на полях бланков. Запрещено размещать на единый носитель личную информацию, если известно, что цели обработки персональных данных несовместимы.

Если личные сведения граждан относят к разным категориям, то нужно для каждого вида использовать индивидуальный носитель. Какие системы можно отнести к автоматизированным, а какие не являются ими? Это раскрывают следующие факты:

1. Личные сведения, находящиеся в системе персональных данных, могут быть обработанными благодаря неавтоматизированному процессу, если их использование выполняется с личным присутствием человека.
2. Нельзя утверждать, что данные обрабатываются автоматизированно, если учитывать, что они находятся в информационной системе персональной информации.

Автоматизированная обработка выполняется с использованием вычислительных средств. Обработкой называют все действия, которые выполняются с предоставленными данными. В этот процесс входит сбор, фиксирование, использование, уничтожение.

Срок хранения

Специальное положение о сохранении и защите личной информации регламентирует срок, в пределах которого допускается использование и хранение личных данных. Соответственно, трудовые книжки и дубликаты, которые не были забраны или в случае смерти работников, размещаются в активах предприятиях на срок до востребования. Если же такие документы относятся к классу невостребованных бумаг, то они размещаются в архивах компаний на срок не менее пятидесяти лет.

Предлагаем ознакомиться Кого принимают на работу по ссовместительству

Положение, в котором определяется специфика индивидуального учета в системе пенсионного страхования, устанавливает срок сохранения личных данных граждан работниками государственного пенсионного фонда. Срок хранения таких бумаг составляет не менее шести лет. Данные документы должны соответствовать следующим требованиям:

• содержать в себе какие-либо данные об индивидуальном счете лица, которое застраховано программой социального страхования;
• быть оформлены в установленной письменной форме и заверены соответствующими подписями граждан;
• быть представлены в электронной форме, так как юридическая сила таких документов должна подтверждаться электронной цифровой подписью, при условии соблюдения законной процедуры подписания;
• содержать в себе данные о всех страховых взносах лиц и страховом стаже граждан;
• предоставляться работодателями в государственные заведения по пенсионному страхованию с целью индивидуального учета граждан в общей системе обязательного страхования для предоставления социальных пенсий.

Иные документы, которые содержат в себе данные о пенсионном страховании, хранятся в архивах пенсионных учреждений не мене трех лет. Соответствующие документы подлежат уничтожению, когда срок их хранения истекает.

Акты, в которых указываются случаи расследований профессиональных заболеваний должны храниться не менее 75 лет в активах государственного учреждения, которое специализируется на санитарно-эпидемиологическом надзоре и вело дело о расследовании конкретного происшествия. Работодатели должны хранить следующие документы на протяжении 45 лет с копиями и материалами расследования:

• акты о несчастных случаях на производстве;
• акты о несчастных случаях, которые касаются группы лиц;
• документы о расследовании тяжелого несчастного случая;
• бумаги о несчастных случаях сл смертельным исходом и др.

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором

(п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных

— любое совершаемое с ними действие. Операции по обработке персональных данных:

• сбор;
• запись;
• систематизация;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передача (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение персональных данных.

Нормативные акты о защите данных

При разработке локальных нормативных актов, которые касаются защиты личной информации сотрудников, учитывается законодательное положение, а также специфика работы предприятия. В соответствующих нормативных актах регламентируются следующие положения:

• перечень личной информации сотрудников, которые нужны работодателю для выполнения всех трудовых обязанностей;
• список лиц, которые имеют право получать личные данные;
• правила хранения, обработки, передачи, защиты и предоставления личной информации;
• должностное лицо, которое имеет право хранить персональные данные сотрудников, а также осуществлять контроль за процессом сохранения информации.

Помимо обязанностей работодателя, нормативные акты включают перечень прав и обязанностей сотрудников, которые касаются необходимости предоставления достоверной информации, а также обеспечения надежного хранения данных и соблюдения конфиденциальности.

Ответственность

Если работниками нарушен порядок сбора, обработки, выдачи сведений, то они несут дисциплинарную и уголовную ответственность по закону. В ст. 5 ФЗ сказано, что личная информация, собираемая для обработки автоматизированными принципами или другими средствами, должна производиться в таком виде, чтобы можно было установить субъекта данных.

Определение субъекта не может быть длительнее, чем это требуется для обработки. Если она выполнена, то некоторое время персональные данные уничтожать нельзя. Персональные данные сотрудников хранятся в учреждении 75 лет. Таким образом, на каждом предприятии должны соблюдать правила хранения и обработки информации.

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

• в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
• — листе ознакомления с Положением (образец на с. 91);
• — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами

Фрагмент журнала ознакомления с
Положениемо персональных данных
Примечание. Срок хранения персональных данных

Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно. Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет. Об этом говорится в Перечне, утвержденном Приказом Минкультуры России от 25.08.2010 N 558.

Примеры целевого использования личных сведений

В различных сферах экономики и общественной жизни персональные данные граждан жизненно важны.

В медицинском учреждении

важно знать подробности о здоровье человека в течение всей его жизни. При этом обладателем персональных сведений является пациент. Оператор, который их использует — поликлиника или другое медучреждение. Она обязана получить разрешение Роскомнадзора для обработки. Если поликлиника передаёт данные, например, в специализированную больницу, она должна получить письменное согласие гражданина.

Для банка

жизненно важно при предоставлении кредита обоснованно предположить, будет ли способен кандидат вернуть одолженные деньги или у нет подходящих финансовых ресурсов. Для этого потребуются подробности о доходе, занятости, составе семьи и некоторые другие. Владельцем информации является клиент. Банк — это оператор, который проводит обработку. Клиент имеет право отозвать разрешение на пользование сведениями о нём. Цели работы с информацией — обеспечение выполнения требований банковского законодательства РФ.

Без предоставления этой или подобной информации обойтись нельзя. Но при этом важно, чтобы её использование не нарушало требований действующих нормативов.

Нарушения, связанные с нецелевым использованием персональных данных

Начиная с 1 июля 2020 года в КоАП внесены изменения в , которые определяют ответственность за нарушение закона №152-ФЗ . При нарушении установленных правил закон предусматривает соответствующие наказания.

Если собирается информация в тех случаях, когда для этого нет законного основания или производится обработка с незаконными целями

, налагается штраф. Для физических лиц сумма составит от 1 до 3 тысяч руб., должностные лица заплатят от 5 до 10 тысяч руб., предприятия — от 30 до 50 тысяч руб.

Если имело место разглашение информации

, штраф начисляется в связи с каждым отдельным таким случаем. Он может составлять от 500 до 1000 руб. с сотрудника, по чьей вине произошло нарушение. Если речь идёт об организации, которая несёт ответственность за происшедшее, то сумма возрастает. Теперь она может составить от 5 до 10 тысяч руб.

В рассматриваемом нормативном акте указано, что соблюдение положений закона 152-ФЗ должен контролировать Роскомнадзор

. До начала обработки по статье 22 Закона о защите персональных данных он должен отослать туда уведомление. В частности, он проводит соответствующие проверки и, если выявляются нарушения, выдаёт предписание о недостатках, которые требуется устранить. Если
распоряжение не выполнено
, на виновного налагается штраф, который может составлять 20 тысяч руб.

О том, как правильно организовать работу с чужими данными, расскажет автор следующего ролика.