Требования к хранению персональных данных

Постановление Правительства РФ от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» (с изменениями и дополнениями)

Постановление Правительства РФ от 6 июля 2008 г. N 512
«Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

С изменениями и дополнениями от:

27 декабря 2012 г.

Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

2. Настоящее постановление вступает в силу по истечении 6 месяцев со дня его официального опубликования.

Председатель Правительства
Российской Федерации

Требования
к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных
(утв. постановлением Правительства РФ от 6 июля 2008 г. N 512)

С изменениями и дополнениями от:

27 декабря 2012 г.

1. Настоящие требования применяются при использовании материальных носителей, на которые осуществляется запись биометрических персональных данных, а также при хранении биометрических персональных данных вне информационных систем персональных данных.

2. В настоящих требованиях под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность (далее — материальный носитель).

3. Настоящие требования не распространяются на отношения, возникающие при использовании:

а) оператором информационной системы персональных данных (далее — оператор) материальных носителей для организации функционирования информационной системы персональных данных, оператором которой он является;

4. Материальный носитель должен обеспечивать:

а) защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных;

б) возможность доступа к записанным на материальный носитель биометрическим персональным данным, осуществляемого оператором и лицами, уполномоченными в соответствии с законодательством Российской Федерации на работу с биометрическими персональными данными (далее — уполномоченные лица);

в) возможность идентификации информационной системы персональных данных, в которую была осуществлена запись биометрических персональных данных, а также оператора, осуществившего такую запись;

г) невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе.

5. Оператор утверждает порядок передачи материальных носителей уполномоченным лицам.

7. Тип материального носителя, который будет использован для обработки биометрических персональных данных, определяет оператор, за исключением случаев, когда нормативными правовыми актами Российской Федерации предписано использование материального носителя определенного типа.

8. Оператор обязан:

а) осуществлять учет количества экземпляров материальных носителей;

б) осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.

9. Технологии хранения биометрических персональных данных вне информационных систем персональных данных должны обеспечивать:

а) доступ к информации, содержащейся на материальном носителе, для уполномоченных лиц;

Информация об изменениях:

Постановлением Правительства РФ от 27 декабря 2012 г. N 1404 в подпункт «б» внесены изменения

б) применение средств электронной подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель;

в) проверку наличия письменного согласия субъекта персональных данных на обработку его биометрических персональных данных или наличия иных оснований обработки персональных данных, установленных законодательством Российской Федерации в сфере отношений, связанных с обработкой персональных данных.

Информация об изменениях:

Постановлением Правительства РФ от 27 декабря 2012 г. N 1404 в пункт 10 внесены изменения

10. В случае если на материальном носителе содержится дополнительная информация, имеющая отношение к записанным биометрическим персональным данным, то такая информация должна быть подписана усиленной квалифицированной электронной подписью и (или) защищена иными информационными технологиями, позволяющими сохранить целостность и неизменность информации, записанной на материальный носитель.

Использование шифровальных (криптографических) средств защиты информации осуществляется в соответствии с законодательством Российской Федерации.

11. При хранении биометрических персональных данных вне информационных систем персональных данных должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.

12. Оператор вправе установить не противоречащие требованиям законодательства Российской Федерации дополнительные требования к технологиям хранения биометрических персональных данных вне информационных систем персональных данных в зависимости от методов и способов защиты биометрических персональных данных в информационных системах персональных данных этого оператора.

В целях реализации конституционного права граждан на неприкосновенность частной жизни, личную и семейную тайну установлены требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

Биометрическими персональными данными являются сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Обработка таких данных может осуществляться только с согласия гражданина, за исключением случаев, связанных с обеспечением безопасности государства, осуществлением правосудия и некоторых других.

Требования распространяются на машиночитаемые носители информации (в том числе магнитные и электронные, за исключением бумажных), на которых осуществляются запись и хранение биометрических персональных данных.

Материальный носитель должен обеспечивать защиту от несанкционированного доступа к биометрическим персональным данным, в том числе от несанкционированной повторной и дополнительной их записи; возможность идентификации информационной системы, в которую была осуществлена запись биометрических персональных данных, а также оператора, осуществившего такую запись.

Порядок передачи материальных носителей уполномоченным лицам определяется оператором соответствующей информационной системы. Им же устанавливается срок, в течение которого материальный носитель должен использоваться. Этот срок не может быть больше срока, установленного изготовителем материального носителя.

Постановление вступает в силу по истечении 6 месяцев со дня его официального опубликования.

Постановление Правительства РФ от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Настоящее постановление вступает в силу по истечении 6 месяцев со дня его официального опубликования

Текст постановления опубликован в «Российской газете» от 11 июля 2008 г. N 148, в Собрании законодательства Российской Федерации от 14 июля 2008 г. N 28, ст. 3384

В настоящий документ внесены изменения следующими документами:

Постановление Правительства РФ от 27 декабря 2012 г. N 1404

Изменения вступают в силу по истечении 7 дней после дня официального опубликования названного постановления

Источник: http://base.garant.ru/193541/

Персональные данные: что это такое и где их хранение защищено на законодательном уровне?

В Российской Федерации понятие персональной информации закреплено на законодательном уровне. Оно тесно связано с конфиденциальностью и предусматривает формализованные способы передачи, распространения и хранения сведений.

О последнем пункте мы и поговорим подробно. Вы узнаете все нюансы хранения персональных данных в нашей стране, прочитаете о последних нововведениях в этой сфере и узнаете о правилах обработки персональных данных на электронных и бумажных носителях.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что это такое?

В 2001 году в Трудовом кодексе России появилась 14 глава, посвященная защите персональных данных сотрудников, а спустя 15 лет правительство, наконец, сформировало термины по обращению с конфиденциальной информацией.

Под хранением информации подразумевается способ ее распространения во времени и пространстве при помощи определенного носителя. Основными условием и целью хранения данных называется обеспечение к ней постоянного доступа или доступа по требованию.

Хранение данных является составной частью обработки информации. Когда гражданин дает согласие на обработку персональных данных, речь идет о сборе, накоплении, уточнении, извлечении, обновлении и хранении информации.

Где можно хранить на территории РФ?

Хранить данные разрешается на следующих носителях.

1. Компьютерные жесткие диски (внутри серверов дата-центров, расположенных на территории Российской Федерации).
2. Флэш-накопители памяти.
3. CD, DVD диски и носители других форматов.
4. Облачные сервера, предоставляемые юридическими лицами для хранения информации.
5. Бумажные носители (бланки, формы, документы, справки).

Основные правила

В пункте 7 статьи 5 закона сказано, что хранение информации должно осуществляться в форме, не позволяющей определить субъекта (владельца) ведомостей более длительное время, чем того требуют цели конкретного информационного взаимодействия.

Также уточняется, что длительность хранения должна устанавливаться федеральным законом, договором или другими актами между субъектом и оператором сведений такого типа. Доступ к ведомостям должен быть максимально ограничен.

Работники подписывают документы о неразглашении, а также ведут учет всех сохраняемых данных, указывая:

• Наименование, тип, емкость документа.
• Местонахождение носителя.
• Дата начала хранения (регистрации).
• Ответственное за хранение лицо.

На практике это означает, что, например, банки, постоянно работающие с конфиденциальными сведениями, должны иметь свои дата-центры в РФ или обратиться в дата-центры, предлагающие услуги ро размещению серверов.

Подробная инструкция, как хранить на носителях

На бумажных

Для операторов, хранящих информацию на бумажных носителях, разрабатывается «Регламент учета, хранения и уничтожения физических носителей персональных данных». В нем указаны все особенности работы с ПД на конкретном предприятии.

У каждого оператора должна быть политика хранения сведений персонального характера, включающая такие пункты:

1. Назначение ответственного лица.
2. Организация допусков к конфиденциальной информации некоторых работников на основе приказов, оформленных на физических носителях.
3. Организация специализированных хранилищ с ограниченным доступом.
4. Обеспечение отдельного хранения персональных сведений с разными целями обработки или несовместимыми целями.
5. Использование разных носителей для разновидностей ПД, не относящихся к одной категории.
6. Оформление документов с ПД согласно законодательству (вписывается шапка с целью обработки ведомостей, наименованием оператора информации, его контактов).
7. Сопровождение всех документов отметкой о согласии субъекта на обработку сведений о нем.

Электронные

Персональные сведения относятся к конфиденциальной информации, поэтому должны быть защищены. Для всех операций с такими ведомостями, включая хранение, используются «Информационные системы персональных данных» (ИСПД).

Их в России принято делить на четыре категории в зависимости от важности и объема информации.

• Категория 1. Типовая информационная система персональных данных с ведомостями более чем на 100 тысяч субъектов. В ней содержится информация о расовой, национальной принадлежности, политических взглядах, религии, интимной жизни и другие ведомости, распространение которых окажет явное негативное влияние на жизнь физических лиц.
• Категория 2. Система вмещает в себя персональные ведомости, разглашение которых позволит третьим лицам получить о физическом лице дополнительные ведомости, кроме данных, относящихся к первой категории.
• Категория 3. Система с персональными сведениями, которые дают возможность идентифицировать физическое лицо.
• Категория 4. Предусматривает хранение обезличенных персональных данных, раскрытие которых не окажет негативного влияния.

Процесс хранения начинается с создания такой системы и ее проверки государственными органами России. После этого оператор должен обеспечить все требования по инженерной защите помещения, проверяется соответствие системы по:

1. требованиям пожарной безопасности;
2. охране;
3. электрическому питанию;
4. заземлению;
5. санитарным требованиям.

Она может называться как угодно, например, «Политика обработки персональных данных» или «Согласие на хранение личной информации».

Главное, чтобы клиент мог ознакомиться с ней и нажать на «галочку», выразив таким образом свое согласие на предоставление оператору информации. Весь процесс хранения такой информации регламентируется законодательными актами о конфиденциальных данных.

Запрещается передавать их третьему лицу, а также использовать в целях, которые не были указаны изначально.

1. Доступ к данным необходимо ограничить.
2. Передавать информацию по зашифрованным каналам.
3. Иметь документацию по ПД.
4. Вести учет физических носителей, если есть.
5. Предотвращать утечки.
6. Раздельно хранить информацию, которая обрабатывается с разными целями.
7. Уничтожать информацию после обработки после 30 дней хранения (желательно) или по истечении шести месяцев (в обязательном порядке).

Размещать данные компании могут как им удобно, в том числе на современны облаках.

В государстве четко регламентированы процессы хранения ПД, все операторы такой информации должны пройти ряд проверок и доказать свою способность обеспечить информации конфиденциальность. В случае несанкционированного распространения или доступа к данным, оператор несет гражданскую, материальную и даже уголовную ответственность.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/hranenie-pd.html

Хранение и обработка персональных данных. Инструкция

Персональные данные — это практически любая информация о физическом лице. Поэтому если Ваша организация работает с людьми, о которых Вы так или иначе информацию собираете, то эта инструкция будет Вам полезна. Она затронет следующие аспекты: получение согласия на обработку, уведомление субъекта персональных данных об обработке данных, уведомление Роскомнадзора, трансграничная передача данных, необходимость хранить персональные данные в России и организационные требования к оператору. Так что наберитесь терпения.

Законодательство о персональных данных в России аморфное — неясного в нем больше, чем доподлинно известного. Помимо «аморфности» законодательство еще вводит сложные и трудоемкие алгоритмы работы с персональными данными, что автоматически делает работу по его соблюдению более сложной, а данную инструкцию — более объемной.

Получение согласия

По общему правилу, если Вы обрабатываете (например, храните обращения граждан), то всегда лучше иметь согласие лица на обработку его персональных данных. Примерную форму такого согласия можно найти по ссылке.

Естественно, в работе правозащитных организаций иногда получить согласие человека невозможно. Например, при похищении человека или при применении пыток к заключенному. В законодательстве есть ряд исключений, которые позволяют обрабатывать персональные данные без согласия. Поэтому при работе с такими обращениями важно понимать, в какую категорию исключений они могут попасть (на случай, если к Вам после публикаций придет Роскомнадзор с проверкой). Но их немного:

Если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, и если получение согласия субъекта персональных данных невозможно. Как только угроза жизни или здоровью прекращается, обработка должна быть прекращена. При этом понять, когда, по мнению Роскомнадзора, угрозу можно считать прекращенной, например, при жалобах на пытки в СИЗО, не совсем ясно. Очевидно одно, что в течение короткого времени, данное исключение будет позволять работать с персональными данными, но если есть перспектива долгосрочной работы над обращением, лучше взять согласие.

Если есть договор между организацией и лицом (например, родственником пропавшего), в котором бенефициаром (человеком, в пользу которого договор исполняется) является лицо, чьи персональные данные подлежат обработке. Это может быть договор оказания услуг (например, юридических, и например, на безвозмездной основе). Поэтому если получение согласие от субъекта персональных данных никак невозможно, то рекомендуем заключить подобный договор с родственником. В таком случае, Вам будет, что предъявить Роскомнадзору при внеплановой проверке.

Однако если Вы обрабатываете данные, которые относятся к категории «специальные персональные данные» (это данные относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), то нужно обязательно брать согласие человека.

Уведомление Роскомнадзора

Помимо получения согласия на обработку персональных данных есть еще одна бюрократическая сложность. В некоторых случаях необходимо уведомлять Роскомнадзор о том, что Ваша организация обрабатывает персональные данные. Как только такое уведомление Роскомнадзор получает, Вашу организацию могут включить в список плановых проверок. Само уведомление заполнить несложно. Его форму можно найти здесь . (ссылка на ).

В каких случаях можно не уведомлять Роскомнадзор:

Трансграничная передача персональных данных

Закон устанавливает, что трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Чаще всего правозащитные организации осуществляют трансграничную передачу в случае отправления жалоб в Европейский суд по правам человека или в органы ООН.

Требования законодательства таковы, что если трансграничная передача осуществляется не в безопасную страну (список безопасных стран можно посмотреть здесь ), то необходимо или иметь договор с субъектом персональных данных, который бы предусматривал возможность такой передачи, или необходимо получить отдельное согласие на такую трансграничную передачу.

Хранение персональных данных на территории России

Может быть, помните, что начиная с лета 2014 года было много шума из-за принятия закона о персональных данных (№242-ФЗ)? Этот закон обязывает операторов персональных данных обеспечить запись, хранение (и прочие операции) персональных данных граждан РФ с использованием баз данных на территории РФ с 1 сентября 2015 года. Это означает, что персональные данные наших соотечественников должны храниться на российской территории. Однако это не означает, что за рубежом они не могут храниться вовсе. Согласно позиции Министерства связи, хранение данных за пределами РФ является возможным, если первоначальная обработка осуществлялась на территории РФ. Другими словами, можно иметь две базы данных – одна в России, а другая – за рубежом. При этом Роскомнадзор, скорее всего, не сможет проверить, насколько эти базы идентичны.

Организационные требования к НКО

Огромное внимание Роскомнадзор уделяет правильно составленным обязательным документам. Поэтому рекомендуем Вам в самое ближайшее время разработать и утвердить следующие документы:

1. Правила обработки персональных данных (скачать образец)
2. Порядок доступа работников в помещения, в которых проводится обработка персональных данных
3. Документ о назначении лица, ответственного за организацию обработки персональных данных.

С правилами обработки персональных данных необходимо ознакомить всех работников НКО под роспись. Документы, содержащие персональные данные, должны храниться в запирающихся шкафах.

Закон также требует, чтобы персональные данные уничтожались тогда, когда их хранение уже не является необходимым. Например, жалоба была выиграна в Европейском суде, решение ЕСПЧ было исполнено, значит, данные нужно уничтожить. А об уничтожении составить акт.

Более того, мы Вам ранее рассказали, что закон требует, чтобы хранение и обработка велась в России, поэтому необходимо иметь документы, подтверждающие размещение баз данных на технических площадках (ЦОД, сервера) в России. Это могут быть либо собственные серверные мощности, либо арендованные.

По общему правилу, если Вы обрабатываете (например, храните обращения граждан), то всегда лучше иметь согласие лица на обработку его персональных данных. Примерную форму такого согласия можно найти по ссылке.

Естественно, в работе правозащитных организаций иногда получить согласие человека невозможно. Например, при похищении человека или при применении пыток к заключенному. В законодательстве есть ряд исключений, которые позволяют обрабатывать персональные данные без согласия. Поэтому при работе с такими обращениями важно понимать, в какую категорию исключений они могут попасть (на случай, если к Вам после публикаций придет Роскомнадзор с проверкой). Но их немного:

Если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, и если получение согласия субъекта персональных данных невозможно. Как только угроза жизни или здоровью прекращается, обработка должна быть прекращена. При этом понять, когда, по мнению Роскомнадзора, угрозу можно считать прекращенной, например, при жалобах на пытки в СИЗО, не совсем ясно. Очевидно одно, что в течение короткого времени, данное исключение будет позволять работать с персональными данными, но если есть перспектива долгосрочной работы над обращением, лучше взять согласие.

Если есть договор между организацией и лицом (например, родственником пропавшего), в котором бенефициаром (человеком, в пользу которого договор исполняется) является лицо, чьи персональные данные подлежат обработке. Это может быть договор оказания услуг (например, юридических, и например, на безвозмездной основе). Поэтому если получение согласие от субъекта персональных данных никак невозможно, то рекомендуем заключить подобный договор с родственником. В таком случае, Вам будет, что предъявить Роскомнадзору при внеплановой проверке.

Однако если Вы обрабатываете данные, которые относятся к категории «специальные персональные данные» (это данные относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), то нужно обязательно брать согласие человека.

Уведомление Роскомнадзора

Помимо получения согласия на обработку персональных данных есть еще одна бюрократическая сложность. В некоторых случаях необходимо уведомлять Роскомнадзор о том, что Ваша организация обрабатывает персональные данные. Как только такое уведомление Роскомнадзор получает, Вашу организацию могут включить в список плановых проверок. Само уведомление заполнить несложно. Его форму можно найти здесь . (ссылка на ).

В каких случаях можно не уведомлять Роскомнадзор:

Трансграничная передача персональных данных

Закон устанавливает, что трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Чаще всего правозащитные организации осуществляют трансграничную передачу в случае отправления жалоб в Европейский суд по правам человека или в органы ООН.

Требования законодательства таковы, что если трансграничная передача осуществляется не в безопасную страну (список безопасных стран можно посмотреть здесь ), то необходимо или иметь договор с субъектом персональных данных, который бы предусматривал возможность такой передачи, или необходимо получить отдельное согласие на такую трансграничную передачу.

Хранение персональных данных на территории России

Может быть, помните, что начиная с лета 2014 года было много шума из-за принятия закона о персональных данных (№242-ФЗ)? Этот закон обязывает операторов персональных данных обеспечить запись, хранение (и прочие операции) персональных данных граждан РФ с использованием баз данных на территории РФ с 1 сентября 2015 года. Это означает, что персональные данные наших соотечественников должны храниться на российской территории. Однако это не означает, что за рубежом они не могут храниться вовсе. Согласно позиции Министерства связи, хранение данных за пределами РФ является возможным, если первоначальная обработка осуществлялась на территории РФ. Другими словами, можно иметь две базы данных – одна в России, а другая – за рубежом. При этом Роскомнадзор, скорее всего, не сможет проверить, насколько эти базы идентичны.

Организационные требования к НКО

Огромное внимание Роскомнадзор уделяет правильно составленным обязательным документам. Поэтому рекомендуем Вам в самое ближайшее время разработать и утвердить следующие документы:

1. Правила обработки персональных данных (скачать образец)
2. Порядок доступа работников в помещения, в которых проводится обработка персональных данных
3. Документ о назначении лица, ответственного за организацию обработки персональных данных.

С правилами обработки персональных данных необходимо ознакомить всех работников НКО под роспись. Документы, содержащие персональные данные, должны храниться в запирающихся шкафах.

Закон также требует, чтобы персональные данные уничтожались тогда, когда их хранение уже не является необходимым. Например, жалоба была выиграна в Европейском суде, решение ЕСПЧ было исполнено, значит, данные нужно уничтожить. А об уничтожении составить акт.

Более того, мы Вам ранее рассказали, что закон требует, чтобы хранение и обработка велась в России, поэтому необходимо иметь документы, подтверждающие размещение баз данных на технических площадках (ЦОД, сервера) в России. Это могут быть либо собственные серверные мощности, либо арендованные.

Источник: http://hrdco.org/manual/hranenie-i-obrabotka-personalnyh-dannyh-instruktsiya/

Законный порядок хранения и использования персональных данных работников на бумажных и электронных носителях

Любое трудоустройство связано с передачей персональных данных работника работодателю. На начальном этапе трудовых отношений это: ФИО, дата рождения, адрес регистрации, гражданство, семейное положение, уровень образования, и др.

С развитием трудовых отношений, личное дело сотрудника обогащается другими персонифицированными данными: приказ о приеме на работу, трудовой договор, первичные документы по заработной плате, акты премирования и т.д. В данной статье рассмотрим как и где хранятся персональные данные как в бумажном, так и в электронном виде.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Где разрешается хранить?

Итак, начнем с того, что место нахождения персональных данных зависит от их формы. Различают хранение:

• на бумажном носителе;
• на электронном носителе.

Практика показывает, что большинство ответственных работодателей дублируют информацию, храня документы как в бумажном варианте, так и в электронном. В том и другом случае информация храниться у работодателя, как правило, в отделе кадров и в бухгалтерии. Они запираются на ключ в пожароустойчивых сейфах. Ключ находится у начальника отдела кадров или главного бухгалтера.

Для бумаг бывших работников, как правило, выделяется архивная комната для длительного хранения. В архиве документы хранятся в алфавитном порядке. Указывается срок сдачи в архив и срок окончания хранения. После истечения установленного срока, документы могут быть уничтожены. Электронную информацию хранят в локальной компьютерной сети.

Как правило, на случай сбоя или утери основной базы, создают резервную копию для архива, которую размещают на съемном электронном носителе информации.

Общие правила

Очень важно соблюдать правила хранения, так как в противном случае халатность руководства может привести к нарушению конституционного права граждан на конфиденциальность персонифицированной информации. Статьей 87 ТК РФ установлено, что порядок хранения персональных данных работника должен быть разработан и утвержден работодателями.

Статья 87 ТК РФ. Хранение и использование персональных данных работников

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.

При этом они должны учитывать все требования, которые установлены ТК и другими федеральными законами. Основные сроки содержания документов, отражающих информацию о работниках, установлены Приказом Минкультуры 2010 года № 558.

Запомните:

• Справки, докладные, служебные записки, копии приказов, выписки из приказов, заявления, не вошедшие в состав личных дел ХРАНЯТ 5 ЛЕТ.
• Сводные расчетные ведомости, расчетные листы на выдачу заработной платы, пособий, гонораров, материальной помощи и др. выплат; доверенности на получение денежных сумм и товарно-материальных ценностей, в том числе аннулированные доверенности о получении заработной платы и других выплат ХРАНЯТ 75 ЛЕТ.
• Анкеты, автобиографии, листки по учету кадров, заявления, рекомендательные письма лиц, не принятых на работу ХРАНЯТ 3 ГОДА.
• Переписку по поводу перевода сотрудников ХРАНЯТ 3 ГОДА.
• Командировочные удостоверения ХРАНЯТ 5 ЛЕТ.

Пошаговая инструкция по использованию задокументированных сведений

1. Обработка и хранение персональных данных на бумажном носителе должна быть проведена на основе законодательства РФ (ст. 24 Конституции, Глава 14 ТК РФ, ФЗ РФ от 27 июля 2006 года № 152 «О персональных данных», Приказ Минкультуры РФ 2010 года № 558, статья 137 УК РФ и др.

Статья 24 Конституции РФ

• Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
• Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Более детально о том, как заполнить заявление на обработку и на другие операции с персональными данными работника, читайте тут, а об обязательстве о неразглашении и других документах узнайте в этом материале.

На электронном носителе

1. Работа по обработке и хранению персональных данных на электронных носителя также должна основываться на требованиях законодательных актов, указанных выше.
2. Также как и для бумажных носителей, для электронных носителей должны быть обозначены сведения, которые относятся к персональным данным. Сюда также можно отнести адрес личной электронной почты сотрудника, аккаунты (профиль, учетная запись) в социальных сетях, и др.
3. Все полученные документы, содержащие персональные данные сканируются и направляются в электронное личное дело работника.
4. К электронной базе данных имеют доступ: руководитель предприятия, его заместители, работники отдела кадров и бухгалтерии, а также работники информационно-технического отдела (программисты).
5. Для каждого работника, имеющего доступ к электронной базе создается индивидуальный логин и пароль. При обработке данных (изменение, дополнение, удаление), программное обеспечение сохраняет автоматически данные лица, которое эти манипуляции совершило.
6. Создается резервная копия базы данных, которая подлежит хранению на съемном носителе. База подлежит обновлению 1 и 15 числа каждого месяца. Если эти числа приходятся на выходной или праздничный день, обновление совершается на следующий за ними рабочий день.

Персональные данные работника стали частым объектом мошенничества. В этой связи законодатель установил основные правила защиты данной информации, а также ответственность за нарушение порядка ее обработки и хранения. Однако следует отметить, что российское законодательство в данной сфере еще достаточно сырое, так как большая часть правил устанавливается не на уровне закона, а локальными нормативными актами.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/na-rabotnika/hranenie.html

Использование, хранение персональных данных работников

Персональные данные (серию и номер паспорта, ФИО и возраст, информацию о месте жительства, детях, стаже, профессиональной деятельности и т.д.) работодатель не может использовать только по своему усмотрению. Его права и обязанности четко регламентированы в ТК РФ (статьях 87, 88, 89) и Положении о работе с персональными данными.

Порядок использования персональных данных

Использование и хранение персональных данных работников (документов, в которых содержатся эти данные) осуществляется согласно Трудовому кодексу и внутреннему распорядку компании.

Согласно статье 88 ТК РФ, персональные данные:

1. Могут быть использованы только в определенных целях (например, для решения рабочего вопроса). При этом должны быть переданы только те данные, которые требуются в конкретном случае. Например, информация о детях, семейном положении, прописке для выполнения работы не требуется.
2. Могут передаваться другим лицам только в рамках локального нормативного акта. С ним нужно ознакомить сотрудника до передачи его данных. Сотрудник должен дать письменное согласие.
3. Могут быть переданы третьим лицам только с письменного разрешения сотрудника, если это не касается угрозы его жизни и здоровью.
4. Не должны касаться состояния здоровья сотрудника, если оно не препятствует работе. Запрашивать данные о предыдущих болезнях, количестве больничных и т.д. работодатель не имеет права.
5. Обрабатываются уполномоченным лицом (на этого сотрудника необходимо составить приказ от имени директора компании).

Согласно статье 89 ТК РФ, работник может получит доступ к документам, в которых содержатся персональные данные, в любое время. Их предоставляют бесплатно. В число таких документов входят и медицинские. Работник может не только ознакомиться с ними, но и потребовать копию. Если при проверке он обнаружил ошибки, он может потребовать исправить их, уведомив ответственное лицо.

Правила хранения персональных данных сотрудников

Согласно ТК РФ, работодатель обязан обеспечить сохранность документов с персональной информацией, защитив ее от неправомерного использования, а сами документы — от утраты. Кроме того, он должен предоставить сотруднику возможность ознакомиться с информацией в любое время.

Общие правила хранения:

1. Документы необходимо разместить в отдельном помещении с сейфами и запираемыми шкафами. В несгораемые сейфы размещают трудовые книжки, в шкафы — личные карточки, приказы, справки и прочие документы.
2. Доступ к документам должен быть ограничен. Работать с ними может только уполномоченное лицо и сам сотрудник, чьи данные хранятся у работодателя. Другие лица получают доступ только по письменному разрешению или для решения конкретной задачи.
3. Работодатель должен установить требования к получению и использованию данных. Эти требования не должны нарушать ТК РФ и конституционные права. Так, их нельзя передавать без согласия сотрудника, использовать в личных целях и т.д.
4. С данными требованиями должны быть ознакомлены все лица, допущенные к работе с персональными данными.

Ответственность за нарушение правил

Ответственность за нарушение правил хранения и использования персональных данных несет юридическое лицо, руководитель и уполномоченный за работу с документами сотрудник. К нарушениям относят:

• неправомерную передачу документов третьим лицам;
• ошибки при заполнении документов, их утерю;
• неправильное хранение.

Если нарушения были выявлены в ходе проверке, ответственных лиц и компанию ждут штрафы. Более серьезную ответственность они понесут, если эти нарушения привели к ущербу.

Подготовка документов для трудовой инспекции
– что проверит инспекция по труду и как готовиться к проверке

Источник: http://otot.ru/kadrovoe-deloproizvodstvo-dannye/

Что нужно знать об обработке и хранении персональных данных в России? Правовое регулирование

Деятельность государственных органов, предпринимателей и общественных объединений часто бывает сопряжена с обработкой и хранением личных данных о клиентах, сотрудниках либо прочих взаимосвязанных лицах.

Законодательство запрещает раскрывать третьим лицам такую информацию. В связи с этим операторы, выполняющие процессы с конфиденциальными данными, имеют четкие обязанности по их защите.

Что значит обработка личной информации и каковы её цели?

К личным сведениям причисляются:

• ФИО;
• дата и место рождения человека;
• его адрес;
• уровень образования;
• должность;
• фото- и видеозаписи;
• семейное положение;
• родственники;
• биографические факты;
• подробности о судимости;
• место работы;
• финансовое состояние;
• подтверждение службы в армии;
• оценочные характеристики;
• национальность;
• раса;
• религиозные взгляды;
• состояние здоровья;
• политические убеждения;
• интимная жизнь;
• биометрия;
• прочие идентифицирующие личность факты.

Такая информация может содержаться в:

• паспортах;
• трудовых книжках;
• военных билетах;
• справках о составе семьи;
• дипломах;
• декларациях о доходах;
• анкетах;
• личных карточках;
• свидетельствах о бракосочетании и метриках на детей;
• медицинских картах.

Она проходит следующие этапы:

1. сбор;
2. запись;
3. систематизация;
4. накопление;
5. хранение;
6. уточнение (обновление, изменение);
7. извлечение;
8. использование;
9. передача;
10. обезличивание;
11. блокирование;
12. уничтожение.

Автоматизированная обработка

Используется несколько способов обработки личной информации:

• автоматизированный;
• неавтоматизированный;
• смешанный.

Автоматизированная обработка производится с применением средств автоматизации.

Правовое основание этой деятельности в России

В этой сфере следует руководствоваться нормами ФЗ № 152, № 149 и иными нормативными актами относительно защиты данных. Требования нормативных актов в сфере защиты личной информации затрагивают деятельность различных участников экономических процессов:

• интернет-магазинов;
• работодателей;
• организаций;
• государственных органов;
• центров обработки информации.

Правила и принципы

Личная информация является конфиденциальной. Оператор имеет право осуществлять любые действия с ней в предусмотренных законом случаях:

• при оказании социальной помощи;
• в связи с трудовыми отношениями;
• в случае предоставления пенсионного обеспечения;
• для установления прав человека и в связи с судопроизводством;
• при страховании;
• при предоставлении услуг;
• в прочих ситуациях.

Персональные сведения оператор может получить:

• от самих субъектов;
• от третьих лиц с обязательным подтверждением согласия от граждан, которых они касаются, на передачу таких сведений.

Обрабатывая личную информацию, оператор должен следовать таким принципам:

• придерживаться законодательных норм;
• следовать целенаправленности в обработке;
• собирать только необходимую, являющуюся достаточной, базу для поставленной цели;
• не допускать объединения баз данных, являющихся несовместимыми между собой;
• уничтожать или обезличивать сведения после выполнения действий с ними или в случае утраты необходимости в них.

1. Оператор может по договору поручить обработку собранной базы третьей стороне с согласия граждан, которых она касается. Третья сторона обязана соблюдать те же принципы и правила. Для каждой третьей стороны в договоре:

• определяется список операций со сведениями;
• формулируются цели;
• вменяется в обязанность обеспечивать конфиденциальность и безопасность;
• указываются требования к защите обрабатываемых сведений.

С согласия граждан для целей обработки оператор может передавать персональные сведения в другие страны.

Третьим лицам раскрывать и распространять данные без согласия граждан, которых они касаются, не допускается. В ситуациях, когда раскрытия личных сведений требует закон или судебное решение, разглашение информации нарушением законодательных норм не считается.

Оператор вправе использовать технологию cookies (служебную информацию, посылаемую веб-сервером на компьютер пользователя, для сохранения в браузере). Cookies не передаются третьим лицам.

Оператор не несет ответственности за сведения, предоставленные самим гражданином в общедоступной форме.

Оператор имеет право отправлять рекламные и прочие информационные сообщения на электронные ящики и мобильные телефоны граждан, к которым относятся эти персональные данные, только по их согласию. Сервисные сообщения, отправляемые автоматически на этапах обслуживания гражданина, не могут быть отклонены им.

Требования к хранению

Нормативными документами РФ регламентируются:

• место хранения личной информации граждан РФ;
• порядок ее хранения;
• сроки хранения.

В процессе сбора, обработки и хранения личных сведений должны оформляться следующие документы:

• заявления граждан о согласии на проведение действий с их данными;
• журналы учета персональной информации, ее выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
• журнал проверок наличия документов, содержащих персональные сведения.

Система хранения

На законодательном уровне введены обязанности хранить данные российских граждан только на территории РФ. Для соблюдения этого требования законодательства российские операторы, которые пользуются зарубежными сервисами, имеют возможность перейти на агентскую схему контрактов с конечными пользователями.

В таком случае они выступают в отношениях с зарубежным поставщиком сервиса от имени пользователя и никакой ответственности в этом качестве не несут.

Права и обязанности по договору возникают непосредственно у зарубежного владельца сервиса, на которого требования российского законодательства не распространяются.

Чтобы обойти законодательные ограничения, есть возможность также изменить систему хранения данных. Персональные сведения можно хранить на российских серверах, а связанные с ними обезличенные данные обрабатывать за рубежом.

Перечень мест хранения персональных сведений должен быть установлен приказом руководителя организации-оператора.

Порядок

Перечень мер, необходимых для обеспечения сохранности личных сведений, необходимо установить приказом руководителя организации-оператора. Оператор должен утвердить документ, содержащий перечень персональных данных, используемых в его деятельности. В этом перечне должны быть указаны документы, содержащие конфиденциальные сведения о гражданах, которые оператор представляет в различные государственные органы.

Оператор должен назначить ответственных за работу с личными данными и ответственных за обеспечение их безопасности соответствующими приказами. Можно назначить ответственными как конкретного сотрудника, так и подразделение оператора. В последнем случае личную ответственность будет нести руководитель такого подразделения.

Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено законодательством.

Сроки

Операторы обязаны обеспечивать сохранность архивных документов в течение времени их хранения, установленных федеральными законами Российской Федерации. Хранение персональной информации после прекращения ее обработки допускается только после обезличивания.

Документы передаются на хранение в архив с января года, который идет вслед за годом окончания использования документа. Документы, передаваемые в архив, имеют четкий срок хранения, который необходимо законодательно соблюдать.

• временного хранения (до 50 лет);
• постоянного хранения.

Законодательство РФ четко регламентирует порядок сбора, обработки и хранения персональной информации. За исполнением законодательства в этой сфере следит Роскомнадзор. Этот орган имеет право проверять:

• наличие разрешений субъектов на обработку их персональных сведений;
• утверждение оператором организационных регламентов, устанавливающих порядок действий с такой информацией, и подписи сотрудников о знании их прав и обязанностей в этой области;
• соблюдение условий хранения и защиты персональных данных оператором;
• соответствие документации об обработке личных сведений требованиям законодательства.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник: http://pravovoi.center/zpp/o-personalnyh-dannyh/obrabotka-i-hranenie.html