Персональные данные: что это такое, как обрабатывать, хранить и защищать по закону

Содержание

Плюсы и минусы хранения персональных данных в электронном виде

В электронном виде информация с личными данными хранится при помощи информационных систем и специально предназначенных для этого баз.

Плюсы хранения сведений о человеке в электронном виде:

  • не нужны дополнительные ресурсы;
  • не расходуется место и пространство;
  • быстро и комфортно работать с личными данными;
  • высокая защищенность от несанкционированного проникновения;
  • можно хранить сколько угодно времени;
  • нет необходимости в архивации.

Минусы хранения данных на электронном носителе:

  • нужно создавать резервные копии баз данных работников;
  • немалая стоимость программ и оборудования;
  • требуется управление информационными системами;
  • необходима высочайшая квалификация сотрудника, который будет работать с личными данными.

Чтобы обезопасить личные данные, хранящиеся в электронном виде, можно применять такие способы, как:

  • внедрение разрешительной системы доступа сотрудников к закрытой информации;
  • запрещение доступа сотрудников в помещения, где расположены технические средства, применяемые для обработки личных данных;
  • отлаженная система организации хранения и учета информационных носителей и т. д.

Правила сбора и хранения персональных данных клиента

При хранении персональных данных клиентов вы можете уклониться от требований российского законодательства, либо следовать всем правилам.

  • Чтобы избежать ответственности, надо либо удалить со своего интернет-ресурса форму для внесения контактов, либо оставить в ней строку указания адреса электронной почты для рассылки или строку номера телефона для сбора заказов. В этом случае Роскомнадзор не заинтересуется данной организацией и ее сайтом.
  • Чтобы сделать все по закону, следует выполнить следующее:
  1. Зарегистрировать оператора ПДн на сайте Роскомнадзора. Для этого надо отправить заявление в электронном и письменном виде. Это очень просто: вбейте необходимую информацию в электронную форму и получите заявление – заполните его и отправьте. Затем распечатайте бумажный вариант, который надо отправить в ближайшее отделение Роскомнадзора посредством Почты России.
  2. Готовые документы сохраните – предъявите их при проверке сотрудникам Роскомнадзора.
  3. Необходимо обязательно предупредить своих пользователей о том, что вы храните их персональные данные, поэтому они должны согласиться с вашей политикой конфиденциальности. Ссылку следует размещать в удобном месте: внизу страницы, в шапке либо она должна появляться сразу при регистрации на вашем веб-ресурсе – главное, чтобы клиент ознакомился с информацией до того, как он отправит личные сведения.

Подробный порядок работы с данными пользователей должен быть закреплен в соответствующих документах вашей компании. В них следует расписать способы защиты, вид и место хранения персональной информации, список лиц, которые могут с ней работать, дату уничтожения.

Подробнее

Как наказывают виновных в утечке конфиденциальной информации?

Правила и принципы

Личная информация является конфиденциальной. Оператор имеет право осуществлять любые действия с ней в предусмотренных законом случаях:

  • при оказании социальной помощи;
  • в связи с трудовыми отношениями;
  • в случае предоставления пенсионного обеспечения;
  • для установления прав человека и в связи с судопроизводством;
  • при страховании;
  • при предоставлении услуг;
  • в прочих ситуациях.

Персональные сведения оператор может получить:

  • от самих субъектов;
  • от третьих лиц с обязательным подтверждением согласия от граждан, которых они касаются, на передачу таких сведений (о том, всегда ли нужно согласие на обработку персональных данных, как отозвать, читайте тут).

Обрабатывая личную информацию, оператор должен следовать таким принципам:

  • придерживаться законодательных норм;
  • следовать целенаправленности в обработке;
  • собирать только необходимую, являющуюся достаточной, базу для поставленной цели;
  • не допускать объединения баз данных, являющихся несовместимыми между собой;
  • уничтожать или обезличивать сведения после выполнения действий с ними или в случае утраты необходимости в них.
  1. Оператор может по договору поручить обработку собранной базы третьей стороне с согласия граждан, которых она касается. Третья сторона обязана соблюдать те же принципы и правила. Для каждой третьей стороны в договоре:
    • определяется список операций со сведениями;
    • формулируются цели;
    • вменяется в обязанность обеспечивать конфиденциальность и безопасность;
    • указываются требования к защите обрабатываемых сведений.
  2. С согласия граждан для целей обработки оператор может передавать персональные сведения в другие страны.
  3. Третьим лицам раскрывать и распространять данные без согласия граждан, которых они касаются, не допускается. В ситуациях, когда раскрытия личных сведений требует закон или судебное решение, разглашение информации нарушением законодательных норм не считается.
  4. Оператор вправе использовать технологию cookies (служебную информацию, посылаемую веб-сервером на компьютер пользователя, для сохранения в браузере). Cookies не передаются третьим лицам.
  5. Оператор не несет ответственности за сведения, предоставленные самим гражданином в общедоступной форме.
  6. Оператор имеет право отправлять рекламные и прочие информационные сообщения на электронные ящики и мобильные телефоны граждан, к которым относятся эти персональные данные, только по их согласию. Сервисные сообщения, отправляемые автоматически на этапах обслуживания гражданина, не могут быть отклонены им.

Срок хранения персональных данных

Примеры

Банковская сфера

Банк «Финансовый». Цель обработки персональных данных клиента – осуществление банковских и других операций,

в том числе:

  1. Открытие и ведение банковских счетов.
  2. Перевод денежных средств по банковским счетам.
  3. Перевод денежных средств от лиц – физических и юридических без открытия банковского счёта.
  4. Купля-продажа иностранной валюты.
  5. Оказание услуг консультирования и информирования, в том числе посредством адреса электронной почты.

Медицинская организация

Медицинская организация «Здоровье». Цель обработки:

  • Организация оказания медицинской помощи.
  • Выписка льготных рецептов.
  • Оплата счетов в системе ОМС и ДМС.
  • Использования для статистики и при проведении научно-исследовательской работы.
  • Информирование посредством смс-оповещения о результатах анализов, проводимых акциях и расписании работы специалистов.

О чем всегда забывают при подготовке документации?

На что еще важно обратить внимание до сбора персональных данных?

  1. В случаях, не установленных законодательством РФ, необходимо получать согласие на передачу данных сторонним организациям. Оно может быть как отдельным, так и встроенным в общее (за исключением случаев, когда требуется согласие в письменной форме).
  2. Когда организация получает данные не напрямую от самого субъекта, нужно либо направить ему уведомление об этом (оно должно соответствовать ), либо запросить у него согласие на обработку персональных данных. Способ уведомления при этом определяется организацией-оператором обработки данных. Например, это может быть письмо по электронной почте или SMS-сообщение.
  3. При сборе данных нужно использовать базу данных, размещенную на территории РФ.

Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора.

Хранение, обработка и передача персональных данных работника

2.1. Обработка персональных данных Работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия Работнику в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности Работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

2.2. Персональные данные Работника хранятся в отделе кадров, в сейфе на бумажных носителях: трудовая книжка, личная карточка и на электронных носителях с ограниченным доступом.

Право доступа к персональным данным Работника имеют:

— руководитель организации;

— начальник отдела кадров организации;

— сотрудники отдела кадров.

2.3. Начальник отдела кадров вправе передавать персональные данные Работника в бухгалтерию организации в случаях, установленных законодательством, необходимых для исполнения обязанностей работников бухгалтерии.

2.4. Руководитель организации может передавать персональные данные Работника третьим лицам, только если это необходимо в целях предупреждения угрозы жизни и здоровья Работника, а также в случаях, установленных законодательством.

2.5. При передаче персональных данных Работника начальник отдела кадров и Руководитель организации предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требуют от этих лиц письменное подтверждение соблюдения этого условия.

2.6. Иные права, обязанности, действия работников, в трудовые обязанности которых входит обработка персональных данных Работника, определяются должностными инструкциями.

2.7. Все сведения о передаче персональных данных Работника учитываются для контроля правомерности использования данной информации лицами, ее получившими.

2.8. Начальник отдела кадров обязан предоставлять персональную информацию в пенсионный фонд, фонд обязательного медицинского страхования (ФОМС), фонд социального страхования (ФСС) по форме, в порядке и объеме, установленных законодательством РФ.

Правила хранения персональных данных

Общие правила

Хранение персональных данных на территории России

Уровни защиты персональных данных

Основные правила

Как Роскомнадзор проводит проверки по закону о персональных данных

До недавнего времени Роскомнадзор проводил проверки деятельности компаний в сфере соблюдения законодательства о персональных данных в соответствии с Федеральным законом «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» от 26.12.2008 N 294-ФЗ .

Согласно этому закону плановые проверки нельзя было проводить чаще, чем один раз в три года (ч. 2 ст. 9 закона «О защите прав юридических лиц и индивидуальных предпринимателей…»). При этом Роскомнадзор действовал на основании плана проверок, который в обязательном порядке сноачала направлялся на согласование в органы прокураторы (ч. 3,ч. 6 ст. 9 закона «О защите прав юридических лиц и индивидуальных предпринимателей…»).

С момента вступления в силу 1 сентября 2015 года Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» от 21.07.2014 N 242-ФЗ Роскомнадзор получил право проводить проверки без таких ограничений и без соблюдения сроков проверок в количестве 20 рабочих дней (ст. 13 закона «О защите прав юридических лиц и индивидуальных предпринимателей…»). На практике иногда получалось, что Роскомнадзор мог провести проверку соблюдения компанией требований по обработке персональных данных в любой момент, по любому поводу и любой длительности. 

Сейчас Роскомнадзор обязан направить материалы по итогам проверок в органы прокуратуры для принятия мер прокурорского реагирования. После 1 июля 2017 года при выявлении нарушений Роскомнадзор будет иметь право самостоятельно составлять протоколы об административных правонарушениях по новой редакции статьи 13.11 КоАП и обращаться в суд, минуя органы прокуратуры. 

Номера телефонов, страницы друзей в соцсети – тоже ПД, и за их хранение и передачу могут наказать?

Что означает обработка

Каждый человек может ознакомиться со сведениями о другом гражданине как при исполнении рабочих обязанностей, так и при нерабочем общении, при просмотре интернет–страниц, чтении газеты. Такой сбор информации не считается обработкой. Это просто ознакомление со сведениями.

Если же личная информация специально собирается для использования, хранения, то это будет обработка персональных данных. Этот процесс наблюдается в учебных заведениях, больницах. Сведения регистрируют, вносят в базы, классифицируют для использования в законных целях. Если информацию собирает писатель, журналист, то он может использовать ее для творческих целей.

Система защиты при хранении персональных данных

Каким образом уберечь личные сведения человека? Федеральным законом № 152 установлены определенные меры по организации защиты личных данных человека:

  • меры, установленные законом, — государство обязует уполномоченного сотрудника, занимающегося обработкой информации, производить определенные манипуляции, одновременно запрещая некоторые из них;
  • технические — уполномоченный сотрудник предпринимает ряд мер, которые значительно усложняют проникновение иных лиц к личным данным о человеке.

Есть много методов хранения персональных данных о сотрудниках. К ним относятся замена цифровых данных, сокращение информации, распределение ее на хранение в нескольких местах.

Штрафы за нарушение хранения персональных данных

Срок хранения

Специальное положение о сохранении и защите личной информации регламентирует срок, в пределах которого допускается использование и хранение личных данных. Соответственно, трудовые книжки и дубликаты, которые не были забраны или в случае смерти работников, размещаются в активах предприятиях на срок до востребования. Если же такие документы относятся к классу невостребованных бумаг, то они размещаются в архивах компаний на срок не менее пятидесяти лет.

Предлагаем ознакомиться Кого принимают на работу по ссовместительству

Положение, в котором определяется специфика индивидуального учета в системе пенсионного страхования, устанавливает срок сохранения личных данных граждан работниками государственного пенсионного фонда. Срок хранения таких бумаг составляет не менее шести лет. Данные документы должны соответствовать следующим требованиям:

  • содержать в себе какие-либо данные об индивидуальном счете лица, которое застраховано программой социального страхования;
  • быть оформлены в установленной письменной форме и заверены соответствующими подписями граждан;
  • быть представлены в электронной форме, так как юридическая сила таких документов должна подтверждаться электронной цифровой подписью, при условии соблюдения законной процедуры подписания;
  • содержать в себе данные о всех страховых взносах лиц и страховом стаже граждан;
  • предоставляться работодателями в государственные заведения по пенсионному страхованию с целью индивидуального учета граждан в общей системе обязательного страхования для предоставления социальных пенсий.

Акты, в которых указываются случаи расследований профессиональных заболеваний должны храниться не менее 75 лет в активах государственного учреждения, которое специализируется на санитарно-эпидемиологическом надзоре и вело дело о расследовании конкретного происшествия. Работодатели должны хранить следующие документы на протяжении 45 лет с копиями и материалами расследования:

  • акты о несчастных случаях на производстве;
  • акты о несчастных случаях, которые касаются группы лиц;
  • документы о расследовании тяжелого несчастного случая;
  • бумаги о несчастных случаях сл смертельным исходом и др.

Положение о персональных данных работников: структура документа

Рассматриваемый документ содержит локальные нормы, определяющие:

  • цели и задачи фирмы при работе с персональными данными;
  • перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
  • описание операций с данными, практикуемых компанией;
  • способы доступа к данным, используемые в фирме;
  • обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
  • права сотрудников фирмы на приобретение санкционированного доступа к данным;
  • правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.

Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:

  • устанавливающим общие положения документа;
  • фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
  • определяющим перечень ключевых операций с персональными данными;
  • регламентирующим осуществление соответствующих операций;
  • определяющим порядок доступа работников фирмы и иных лиц к данным;
  • устанавливающим обязанности сотрудников, участвующих в операциях с данными;
  • устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
  • определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.

Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).

Что надо знать о персональных данных работников

Внести сведения и хранить копии — большая разница

В ст. 65 Трудового кодекса документы работника определены как предъявляемые при приеме на работу. Предполагается, что они именно предъявляются работодателю, а не передаются ему на хранение или для снятия копий.

А вот хранение копий паспорта гражданина РФ, СНИЛС, документов об образовании подпадает под понятие «обработка персональных данных», т.к. копии содержат персональные данные работника. Но работодатели часто хранят копии на случай «а вдруг проверяющие из налоговой, ФСС, прокуратуры и т.д. запросят». Такое объяснение не подходит для цели обработки персональных данных. А если нет законной конкретной цели, то нет и согласия на обработку персональных данных, содержащихся в копиях документов.

Можно ли хранить копии, если есть согласие от работников?

Даже если работник согласен передать копии работодателю, законной цели при этом не возникает. Разберемся, что такое «законная конкретная цель».

Нет цели — нет права хранить копии

Проверяющие из Роскомнадзора применяют принципы, определенные ст. 5 Закона «О персональных данных»:

  • обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Цели обработки персональных данных не должны быть избыточными по отношению к заявленным целям.

Требования к содержанию согласия на обработку персональных данных определены в ч. 4 ст. 9 Закона «О персональных данных». К обязательным сведениям в согласии относятся цель обработки персональных данных и перечень действий с персональными данными.

Пример законных и конкретный целей обработки персональных данных:

  • для целей добровольного медицинского страхования работников;
  • для размещения информации о Ф. И. О. работника, его должности на внутреннем сайте работодателя.

Пример незаконной цели обработки персональных данных: на случай, если запросят проверяющие из налоговой, ФСС, прокуратуры и т.д.

Наличие у работодателя копий документов работников может свидетельствовать об избыточности информации о работниках (их персональных данных) по сравнению с тем, что требуется действующим законодательством.

Онлайн-обучение в Контур.Школе

Управление персоналом и кадровое делопроизводство
Посмотреть программу

Хранение копии паспорта

Ксерокопия паспорта может содержать биометрические персональные данные, т.е. данные об особенностях физиологических и биологических особенностях человека. Например, на копии можно увидеть особенности строения овала лица, формы глаз, носа и т.д.

В соответствии со ст. 11 Закона «О персональных данных» биометрические персональные данные обрабатываются только с согласия работника. В согласии нужно прописать цели, которые бы не нарушали принципы обработки персональных данных, не допускали излишней их обработки и были бы конкретными и законными.

Законно ли направление мне рекламы без моего согласия?

Прежде чем направить вам рекламные материалы, оператор обязан взять у вас согласие:

  • на получение рекламных материалов, т.е. вы должны разрешить ему высылать их;
  • на обработку ПД в целях продвижения товаров, работ или услуг, т.е. вы должны разрешить ему обрабатывать ваши данные (Ф.И.О., номер телефона, e-mail) для получения рекламной рассылки.

Обычно мы не замечаем, как даем эти согласия. Например, в магазине вы заполняете анкету для получения бонусной карты, что влечет согласие на рекламную рассылку; на сайте при заполнении формы обратной связи или при оформлении заказа вы ставите галочку напротив текста, который выражает ваше согласие ().

Если вы не хотите сталкиваться со спамом, рекомендую внимательно следить за тем, что вы подписываете или оформляете на сайте.

На какие категории разделяют персональные данные клиентов

Общие положения

1.1. Настоящее Положение регламентируется Конституцией Российской Федерации, Трудового кодекса РФ, Федеральным законом «Об информации, информационных технологиях и о защите информации» N 149-ФЗ от 27.07.2006 года, Федеральным законом «О персональных данных» N 152-ФЗ от 27.07.2006 года (далее — Федеральный закон) и другими нормативными правовыми актами.

1.2. Персональные данные Работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного Работника.

1.3. К персональным данным относятся:

— фамилия, имя, отчество;

— дата рождения;

— гражданство;

— номер страхового свидетельства;

— ИНН;

— знание иностранных языков;

— данные об образовании (номер, серия дипломов, год окончания);

— данные о приобретенных специальностях;

— семейное положение;

— данные о членах семьи (степень родства, Ф. И. О., год рождения, паспортные данные, включая прописку и место рождения);

— фактическое место проживания;

— контактная информация;

— данные о военной обязанности;

— данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т. п.).

1.4. Все персональные сведения о Работнике Работодатель может получить только от него самого. В случаях, когда Работодатель может получить необходимые персональные данные Работника только у третьего лица, Работодатель должен уведомить об этом Работника и получить от него письменное согласие.

1.5. Работодатель обязан сообщить Работнику о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа Работника дать письменное согласие на их получение.

1.6. Персональные данные Работника являются конфиденциальной информацией и не могут быть использованы Работодателем, или любым иным лицом, в личных целях.

1.7. При определении объема и содержания персональных данных Работника Работодатель руководствуется настоящим Положением, Конституцией РФ, Трудовым кодексом РФ, иными федеральными законами.

1.8. Работодатель, Работник и его представители совместно разрабатывают меры защиты персональных данных Работника.

1.9. Работник не должен отказываться от своих прав на сохранение и защиту тайны.

Какие документы необходимо оформить перед началом обработки данных

Перед началом сбора данных, работодатель подписывает с будущим работником согласие на сбор, обработку и передачу его персональных данных. В соглашении обязательно указать:

  • данные организации-работодателя;

  • должность, фамилию, имя и отчество сотрудника, ответственного за работу с персональными данными;

  • цель сбора данных;

  • перечень лиц, организаций и инстанций, кому планируется передачи данных сотрудника;

  • информирование о наличии права у физического лица письменно отозвать согласие на обработку персональных данных.

Только при наличии такого согласия можно принимать персональные данные.

Согласие оформляется только в письменной форме. Рекомендуется проговорить все пункты соглашения вслух, удостовериться, что работник понял каждый пункт. В случае спорных вопросов и судебных разбирательств, кадровый работник или иное лицо, ответственное за обработку данных наиболее незащищенный, так как довольно трудно доказать, факт получения согласия. Таким образом лучше перестраховаться.

Можно включить дополнительно в трудовой договор условия обработки персональных данных. Есть понятие «специальных персональных данных». К ним относится расовая и национальная принадлежность, религиозные и политические взгляды, состояние здоровья. С подобными данными, если они поступают в распоряжение работодателя, необходимо обращаться особенно щепетильно. Не следует допускать хранения и тем более передачи третьим лицам подобных сведений без наличия письменного согласия.

Неудобства для предпринимателей

Специалисты полагают, что новый закон негативно отразится на деятельности многих российских компаний. Каждый его нарушитель с 1 сентября 2016 года попадает в черный список Роскомнадзора. Этот перечень сегодня состоит из пиратских сайтов и сайтов, пропагандирующих незаконную деятельность либо действия, не соответствующие морально-этическим нормам (насилие, суицид, детское порно, экстремизм). Запрет на эти ресурсы вполне понятен. Но многие предприятия, которые осуществляют абсолютно законную деятельность, возможно, не смогут перенести свои базы на российские ресурсы к указанной дате.

Еще одна цель этого закона – обеспечение безопасности персональных данных от действий американских спецслужб. Этим государственным структурам иностранные ресурсы обязаны предоставлять всю имеющуюся информацию. Однако, обеспечив безопасность персональных данных от проникновения сотрудников зарубежных спецслужб, закон создает немало неудобств и проблем для мелких, средних и крупных российских предприятий.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий