Главная » Разное

Способы хранения личной информации

Содержание
  1. Хранение персональных данных
  2. Существуют ли четкие правила хранения персональных данных?
  3. Важные нюансы, связанные с порядком хранения персональных данных
  4. Какой должна быть система хранения персональных данных
  5. Сбор, обработка и хранение персональных данных на бумажных и электронных носителях
  6. Обработка и хранение персональных данных: составление внутренних правил
  7. Согласие на распространение персональных данных: новый документ работодателей
  8. Зачем нужен новый документ
  9. Что указывать в согласии
  10. Как получить согласие
  11. Что делать, если человек отозвал согласие
  12. Зачем нужна информационная система (ИС) Роскомнадзора
  13. Какие штрафы ждут работодателей
  14. Шпаргалка

Хранение персональных данных

Грамотное организованное хранение документов, содержащих персональные данные, — залог того, что конфиденциальная информация о сотрудниках, клиентах и в целом деятельности организации не попадет в руки посторонних лиц. Ответственность за определение правил, места размещения и защиты информации ложится, согласно закону, на работодателя, однако не все четко понимают, о каких нюансах нужно позаботиться. Добавляют сложностей постоянные дополнения и корректировки нормативно-правовых актов, которые приходится отслеживать, чтобы не получить штраф и не попасть в эпицентр скандала, связанного с распространением личных сведений граждан.

Разберемся, как и где хранить персональные данные, чтобы спокойно проходить проверки и поддерживать имидж серьезной компании, которая заботится об информационной безопасности. Более конкретные рекомендации работодатели или их представители могут получить, воспользовавшись услугами наших экспертов, которые проанализируют текущее положение дел и составят список необходимых изменений.

Существуют ли четкие правила хранения персональных данных?

Многие начинающие бизнесмены полагают, что для урегулирования вопросов, касающихся операций с ПДн, есть четкие инструкции, используя которые получится сформировать четкие правила и привести деятельность в соответствии с законодательными требованиями. На практике единого подхода к решению вопроса нет. Это значит, что каждый руководитель или ИП самостоятельно (или делегируя обязательства на заместителя либо руководителя отдела кадров):

  • разрабатывает регламент хранения персональных данных;
  • определяет, где они будут находиться;
  • подбирает и одобряет предпринимаемые меры защиты и ограничения доступа;
  • назначает сотрудников, которые будут нести ответственность за контроль операций с личными сведениями;
  • выбирает те или иные виды наказаний за нарушения правил;
  • подписывает внутренние распоряжения.

Ответственный подход на начальном этапе дает возможность в будущем не вносить радикальных изменений даже при изменении нормативно-правовой базы. Для того, чтобы все сделать правильно, необходимо принимать в расчет актуальные предписания относительно работы архивов, ограничения доступа к информации разных категорий сотрудников, а также ранее установленный порядок сбора и обработки ПДн (он должен быть закреплен в локальном акте или распоряжении). Еще один существенный момент заключается в том, чтобы политика по данному вопросу учитывала способ выполнения операций (в рамках ИСПДн либо на бумажных носителях).

Важные нюансы, связанные с порядком хранения персональных данных

Для того чтобы гарантировать сохранность и секретность ПДн, необходимо:

  1. Четко определить условия хранения персональных данных на бумажных носителях и в электронном виде. Речь идет не только о месте, но и установлении режима доступа туда для разных категорий сотрудников.
  2. Выбрать людей, которые будут отвечать за конкретные аспекты, связанные с сохранением информации.
  3. Провести разъяснительную работу с персоналом, объяснив степень важности ограничений и правил использования ПДн в рамках профессиональной деятельности, а также дав четкие инструкции, как действовать в той или иной ситуации.
  4. Продумать средства защиты для сейфов, шкафов с замками, а также заняться внедрением специализированного программного обеспечения.
  5. Если ведется работа с биометрическими данными, то дополнительно продумать механизмы контроля и ограничения доступа в соответствии с Правительственным постановлением № 512, вступившем в силу в 2008 году.

При урегулировании вопроса хранения личной информации необходимо понимать, что это не однократная работа, а постоянные усилия, направленные на поддержание информационной безопасности. Каждый год появляются новые угрозы и требования, которым приходится соответствовать, чтобы, во-первых, не платить огромные штрафы, а во-вторых, чтобы не быть хуже конкурентов и рассчитывать на доверие со стороны клиентов и партнеров.

Читайте также:  Лечение простатита способ лечения

Какой должна быть система хранения персональных данных

Основная нагрузка по работе с ПДн ложится на плечи кадрового департамента, поэтому его работники должны иметь точное представление о том, что и как делать для предупреждения несанкционированного доступа. Законодательной базой является Конституция, ФЗ-152, ФЗ-149, Трудовой Кодекс и другие нормативные акты. Особое внимание должно уделяться срокам хранения, передачи и обработки персональных данных. На сегодняшний день правовые нормы определяют следующие требования:

  • 3 года предприятие имеет право и обязано хранить заявления о трудоустройстве либо увольнении, письма с рекомендациями, автобиографии, указы о переводе на другую должность, анкеты;
  • на протяжении пяти лет сохраняются докладные, служебные записки, командировочные листы, разнообразные справки (которые не включаются в личное дело), а также приказы и выписки;
  • финансовая информация (связанная с выдачей зарплаты, премиальных, пособий и т.д.) находится в архиве 75 лет.

Существует разница между сроком действия согласия на обработку ПДн и длительностью сохранения самих данных. Хранение персональных данных — это процесс, регулируемый законодательством, решением владельца и целями использования сведений. ФЗ-152 закрепляет обязанность оператора сразу после достижения цели обработки обезличить и уничтожить полученные данные.

Все работники, как штатные, так и внештатные, которые работают с личными сведениями, должны подписать соглашение о неразглашении. Типовой документ необходимо предварительно адаптировать под особенности деятельности фирмы.

Сбор, обработка и хранение персональных данных на бумажных и электронных носителях

Выделяют сведения о субъектах, сохраняемые в бумажном и электронном виде. Каждый вариант есть свои плюсы, минусы и особенности. Нередко информация дублируется для эффективного выполнения рабочих задач и в целях безопасности.

  1. Электронное хранение предполагает создание защищенных ИСПДн, которые в автоматическом режиме фиксируют и обрабатывают большие массивы данных. В таком случае не нужно много места или закупки закрывающихся шкафов и сейфов, а отыскать интересующие сведения можно за пару секунд, к тому же при серьезном подходе к обеспечению защиты нет риска кражи или утечки ПДн. Из недостатков следует отметить наличие затрат на оснащение современным программным обеспечением, потребность в постоянном создании резервных копий, а также регулярное обновление оборудования.
  2. Правила хранения персональных данных на бумажных носителях предполагают размещение личных дел в сейфах в алфавитном порядке в зависимости от регистрационного номера. Остальные сведения размещаются согласно внутреннему регламенту, то есть работодатель может сам выбрать место для папок-накопителей, определить ответственных за безопасность сотрудников и установить ограничение доступа. К плюсам бумажных носителей можно отнести оптимизацию учета ПДн, минимальное время поиска информации. К минусам можно отнести существенные финансовые расходы на сейфы, необходимость дополнительного обучения новых сотрудников отдела кадров, потребность в большом свободном и защищенном пространстве (если фирма большая и личных дел много).

Обработка и хранение персональных данных: составление внутренних правил

Документ преимущественно составляют по шаблону, внося некоторые корректировки в зависимости от формы, способа фиксации ПДн и других особенностей деятельности организации. Основные разделы:

  • общие положения;
  • способы выявления и профилактики несанкционированного доступа и распространения ПДн;
  • цели обработки и содержание хранимой личной информации;
  • категории субъектов;
  • сроки обработки и сохранения сведений;
  • механизм уничтожения информации;
  • ответственность за нарушение правил.

После внедрения правил хранения персональных данных в информационных системах и на бумажных носителях необходимо убедиться в том, что:

  • уровень защиты достаточно высокий и соответствует актуальным угрозам;
  • все сотрудники дали согласие на совершение операций с личными сведениями;
  • принятые локальные акты соответствуют федеральному законодательству;
  • содержание внутреннего документа, регулирующего хранение и обработку ПДн, донесено до персонала (каждый должен поставить подпись).

Источник

Согласие на распространение персональных данных: новый документ работодателей

эксперт по трудовому законодательству, преподаватель по трудовому праву

Разберемся, что это за согласие, как его оформлять, чтобы избежать огромных штрафов

Зачем нужен новый документ

В марте этого года в обиходе работодателей появилось понятие «персональные данные, разрешенные для распространения» (Федеральный закон от 30.12.2020 № 519-ФЗ). А вместе с ним и новый документ — согласие на обработку персональных данных, разрешенных для распространения. Порядок работы с ним изложен в ст. 10.1 Федерального закона
от 27.07.2006 № 152-ФЗ и Приказе Роскомнадзора от 24.02.2021 № 18. Новый документ призван остановить бесконтрольное использование персональных данных (ПД) граждан третьими лицами.

Читайте также:  Способы хранения информации презентация по информатике

Обратите внимание: согласие на распространение персональных данных — отдельный документ, его нельзя оформлять в совокупности с другими документами.

Что указывать в согласии

Содержание согласия определяется Приказом № 18. В документе обязательно должны быть:

  1. Фамилия, имя, отчество субъекта персональных данных.
  2. Контактная информация субъекта персональных данных: номер телефона, адрес электронной или обычной почты.
  3. Сведения об организации — операторе персональных данных, которому человек предоставляет согласие.

Если оператором выступает юридическое лицо, субъект должен указать наименование организации, адрес из ЕГРЮЛ, ИНН и госномер, если он его знает.

Если ИП — ФИО, ИНН и госномер, если знает.

  1. Сведения об информационных ресурсах оператора, с помощью которых он распространяет персональные данные: наименование протокола — http/https, сервера, домена, имя каталога на сервере и имя файла каталога.

Если вы размещаете сведения на нескольких сайтах, укажите полные адреса всех. Человек должен знать, где будет опубликована информация о нем.

  1. Цель или цели обработки и распространения персональных данных.
  2. Категории и перечень ПД, которые можно распространять. Приказ № 18 предлагает объемный перечень, куда входят ФИО субъекта персональных данных, дата рождения, образование, профессия, доходы и пр. В этот раздел может быть отнесена биометрия, а также все, что ст. 10 и 11 Закона № 152-ФЗ относят к специальной категории ПД: национальность, расовая принадлежность, политические взгляды, религиозные и философские убеждения и пр.

Обратите внимание: сотрудник не обязан давать согласие на распространение всех сведений из списка. Он может установить запрет в отношении любого вида информации.

  1. Категории и перечень персональных данных, которые субъект запрещает распространять. Здесь же указываются условия запрета.

Исключения — информация, которая необходима в рамках действующего законодательства, исполнения требований судебными органами и пр. Здесь никто ограничивать работу с персональными данными не может.

  1. Условия передачи оператором данных:
  • только по внутренним сетям, доступ к которым имеет ограниченный круг сотрудников;
  • по информационно-телекоммуникационным сетям;
  • полный запрет на передачу сведений куда-либо.
  1. Срок действия согласия, который устанавливает сам субъект.

Как получить согласие

Согласие можно получать непосредственно у субъекта в бумажном или электронном формате или через информационную систему Роскомнадзора, которая заработает с 1 марта 2022 года. Приказ о ее создании уже утвержден.

Что делать, если человек отозвал согласие

Если человек передумал, он должен подать оператору, которому предоставлял согласие, требование о прекращении обработки и распространения персональных данных (ст. 10.1 Закона № 152-ФЗ). Это может быть любое лицо работодателя: генеральный директор, руководитель или специалист отдела кадров — закон не уточняет.

В требовании должны быть указаны: фамилия, имя, отчество (при наличии), контактная информация (номер телефона, адрес электронной почты или почтовый адрес), а также перечень персональных данных, обработка которых подлежит прекращению.

Требование лучше составить в письменной, а не электронной форме, потому что в уже сложившейся практике электронная форма не всегда принимается в качестве доказательств. Поскольку работодатели только начинают работать с согласиями на распространение ПД, то отдельной практики по этому вопросу ни инспекционной, ни судебной пока нет.

Если работодатель самостоятельно не прекращает распространять информацию в течение трех рабочих дней с момента получения требования, человек может обратиться в суд. Если суд не определил дату прекращения распространения персональных данных, то у организации есть три рабочих дня с момента вступления решения суда в законную силу.

Судебное разбирательство очень неудобно прежде всего для самого субъекта, потому что есть установленные законодательством регламенты и сроки. Рассмотрение претензии может затянуться на месяц или дольше.

За отказ прекратить распространение персональных данных предусмотрена административная ответственность. Ущерб может оказаться существенно больше, чем предполагаемая выгода от распространения.

Читайте также:  По способу определения налоги бывают

Зачем нужна информационная система (ИС) Роскомнадзора

Новая ИС для работы с согласиями на распространение персональных данных откроется
с 1 марта 2022 года (Приказ Роскомнадзора от 21.06.2021 № 106). Система будет аккумулировать следующую информацию:

  • факт предоставления согласия;
  • цели обработки ПД;
  • информационные ресурсы оператора;
  • категории и перечни ПД, которые разрешено распространять;
  • категории и перечни ПД, для которых установлены условия и запреты;
  • перечень условий и запретов, устанавливаемых в отношении персональных данных.

Это будет единая база по всем подписанным и отозванным согласиям, запретам и ограничениям.

Важно! Само согласие и содержащиеся в нем персональные данные не передаются в информационную систему Роскомнадзора, оператору и иным третьим лицам.Чтобы сотрудник мог воспользоваться ИС Роскомнадзора, ему необходимо получить электронную подпись, зарегистрироваться в ИС, ввести в форму согласия свои данные и при желании установить запреты и/или ограничения. Работодатель увидит всю информацию тоже только после регистрации. Подробную инструкцию предлагает Приказ Роскомнадзора № 106, но как на практике выстроится взаимодействие, покажет время.

Какие штрафы ждут работодателей

В последнее время законодатели несколько раз корректировали меру ответственности за нарушения в сфере персональных данных. Последнее изменение — от 27 марта 2021 года: штрафы увеличены почти в два раза, появились статьи за повторные ошибки.

Большинство нарушений подпадает под действие ч. 1 ст. 13.11 КоАП — обработка персональных данных, не соответствующая требованиям законодательства или заявленным целям. К ней относятся ошибки в локальных нормативных актах, в порядке сбора и передачи информации и пр.

  • гражданам от 2 000 до 6 000 руб.;
  • должностным лицам — от 10 000 до 20 000 руб.;
  • юридическим лицам — от 60 000 до 100 000 руб.

Если Роскомнадзор обнаружит, что ситуация повторяется, штраф увеличится более чем в два раза (ч. 1.1 ст. 13.11 КоАП).

Для согласий на обработку и распространение персональных данных выделена ч. 2 ст. 13.11 КоАП, она касается нарушений в порядке получения документов или их отсутствия. Поэтому внимательно сверяйте свои документы с требованиями законодательства. Согласие на обработку — со ст. 9 Закона № 152-ФЗ, согласие на распространение — со ст. 10.1 Закона № 152-ФЗ и Приказом № 18.

Обязательно проанализируйте, по всем ли сведениям у вас есть согласие. Чаще всего из поля зрения работодателей выпадают соискатели, совместители, родственники сотрудников и иные третьи лица, чьи данные обрабатываются в организации.

Штрафы за первое нарушение по ч. 2 ст. 13.11 КоАП:

  • гражданам — от 6 000 до 10 000 руб.;
  • должностным лицам — от 20 000 до 40 000 руб.;
  • юридическим лицам — от 30 000 до 150 000 руб.

При повторном нарушении максимальный размер штрафа сейчас может достигать суммы в 500 000 руб. на организацию. Санкции могут применяться к каждому согласию, оформленному с нарушениями или неполученному в установленном порядке, так что ошибки в работе с согласиями на обработку и распространение персональных данных могут обойтись очень дорого.

Но самые суровые части — ч. 8 и 9 ст. 13.11. Они предусматривают наказание за однократные и повторяющиеся нарушения в порядке сбора ПД граждан РФ, их записи, систематизации, хранения, блокировки и уничтожения.

  • Максимальный штраф на организацию по ч. 8 — 6 млн руб., по ч. 9 — 18 млн руб.

Чтобы не выплачивать огромные суммы, сейчас важно получить сами согласия и проверить их содержание. На этот участок работы Роскомнадзор будет обращать внимание в первую очередь.

Если хотите подстраховаться, воспользуйтесь предложением Роскомнадзора: через сайт ведомства отправьте свою форму согласия на проверку. Специалисты проверят ее и дадут свои рекомендации, что исправить и чем дополнить. Для подачи заявки надо авторизоваться через ЕСИА.

Шпаргалка

В шпаргалке собрана полезная информация из статьи:

Образец согласия на распространение персональных данных 649.1 КБ

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.