Порядок хранения персональных данных

Содержание

Что написать в ЛНА

Цели обработки персональных данных и содержание
Они должны быть конкретными и законными. Могут опираться на регламенты деятельности работодателя, бизнес-процессы и проч.
Примеры целей:

  • использование персональных данных в информационных системах, с которыми работает компания,
  • использование данных при составлении документов,
  • передача данных в государственные инстанции (ФСС, ПФР, ФНС и проч.) и другие организации (банки, страховые компании, гостиницы и проч.),
  • сбор данных для принятия решения о приеме кандидата на работу и проч.

В ЛНА нужно указать всех субъектов обработки персональных данных (бывшие и настоящие сотрудники и их родственники, соискатели, клиенты, контрагенты и их представители и проч.), цели обработки персональных данных и их перечень.
Указанные в ЛНА персональные данные не должны быть избыточными по отношению к целям.
Например, если речь об обработке персональных данных соискателя, цель — рассмотрение кандидатуры на конкретную должность. Для этой цели достаточно фамилии, имени, отчества, даты, месяца и года рождения, уровня образования, опыта работы, квалификации, знания иностранных языков, контактных телефонов, email.
Если нужно, в ЛНА можно прописать обработку биометрических и специальных персональных данных субъектов (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья). Доступ к персональным данным
В ЛНА нужно указать перечень должностных лиц, у которых будет внутренний и внешний доступ к персональным данным.
Внутренний доступ. 📌 Реклама

Может быть полным и ограниченным.

При полном доступе достаточно указать перечень должностей, которым дан такой доступ к персональным данным сотрудников.

При ограниченном — указать должности, перечень персональных данных и действий с ними (с указанием целей обработки).

Также нужно назначить сотрудника, который будет отвечать за обработку персональных данных в компании (ч. 1 п. 1 ст. 18.1 Закона № 152-ФЗ «О персональных данных»).

Назначить можно прямым приказом работодателя или прописать должность в ЛНА.

Желательно, чтобы сотрудник имел отношение к работе с персональными данными: IT-специалист, HR, специалист по подбору и проч. Он будет получать указания от исполнительного органа компании (дирекция, правление, генеральный директор и проч.).
Ответственный сотрудник будет:

📌 Реклама

  • контролировать соблюдение законодательства РФ о персональных данных, в том числе требований к их защите;
  • информировать сотрудников о новых нормах, локальных актах о персональных данных;
  • принимать и обрабатывать обращения и запросы сотрудников и (или) их представителей по вопросам обработки персональных данных.

Внешний доступ. Нужно прописать в ЛНА условия передачи персональных данных третьим лицам, в том числе за пределы РФ (трансграничная передача): это можно делать на основании договора, поручения на обработку данных и проч.
В ЛНА нужно указать:

  • наименование и местонахождение третьих лиц,
  • цели передачи данных и объемы,
  • перечень действий по обработке,
  • способы обработки,
  • требования к защите данных.

Хранение персональных данных
Нужно прописать порядок хранения данных и документов, в которых они содержатся (копии паспортов сотрудников, СНИЛС, ИНН и проч.).
Базы данных с персональными данными работников должны находиться на территории Российской Федерации. В ЛНА нужно указать место нахождения таких баз.
Рекомендую отдельно указать сроки хранения данных (не дольше, чем этого требуют цели обработки) в информационных системах и на бумажных носителях. Исключение, когда сроки хранения данных установлены федеральным законом, договором с субъектом персональных данных (сотрудником, партнером и проч.).
Уточните в локальном нормативном акте порядок действий при получении запросов (других обращений) на исправление, удаление, уничтожение персональных данных и прочих требований. Включите в ЛНА формы таких запросов (обращений). Обеспечение конфиденциальности данных
В ЛНА стоит прописать меры, которые компания предпримет для сохранения конфиденциальности персональных данных.
Основные требования к компании (ст. 18.1, 19 Закона № 152- ФЗ «О персональных данных», Приказ ФСТЭК России от 18.02.2013 № 21):

Если компания больше не нуждается в информации о своих сотрудниках или клиентах, то она обязана уничтожить носители с персональными данными этих лиц. Это нужно сделать, чтобы информация не попала к злоумышленникам. Уничтожение должно сопровождаться работой специально созданной комиссии, а также составлением и подписанием соответствующего акта. Как правильно его оформить, читайте в статье.

ФАЙЛЫ
Скачать пустой бланк акта уничтожения персональных данных на бумажных носителях .docСкачать образец акта уничтожения персональных данных на бумажных носителях .doc

Общие сведения

Персональные данные — это любая информация, относящаяся к физическому лицу (клиенту или сотруднику предприятия). К персональным данным относятся ФИО, место и дата рождения, семейное положение, сведения об имуществе и т.д.

Любое учреждение, юридическое лицо или ИП, производящее обработку персональных данных, называется оператором персональных данных.

Уничтожение персональных данных — это действия, итогом которых будет невозможность восстановления сведений о физических лицах — уничтожение материальных носителей информации. Такие процедуры проводят, когда данные теряют актуальность (сотрудник уволился, работа с клиентом закончена) либо субъект отозвал согласие на обработку персональных данных и т.д.

Законодательное регулирование

Самый главный нормативный акт в данной сфере — это закон «О персональных данных» — ФЗ №152 от 27.07.2006 года. Он содержит информацию об условиях обработки, хранении сведений, правах и обязанностях оператора и субъекта персональных данных и т.д. Именно на этот документ нужно ссылаться при составлении акта об уничтожении персональных данных.

Кроме того, в зависимости от ситуации можно обращаться к другим законодательным документам, посвященным сфере работы с персональными сведениями физических лиц.

В отношении ответственности и контроля в данной области ужесточились нормы, они прописаны в Постановлении Правительства №146 от 13.02.2019 г.

Порядок уничтожения персональных данных

Для сведения к минимуму ошибок при процедуре при ее осуществлении необходимо соблюдать определенный законодательством порядок:

  1. В компании приказом руководства должна быть создана специальная комиссия для выявления неактуальных персональных данных и последующего их уничтожения и составления сопроводительного акта. К такому делу чаще всего привлекают сотрудников кадрового отдела, бухгалтерии, делопроизводителей.
  2. Комиссия выявляет список необходимых для ликвидации документов и проводит процедуру уничтожения.
  3. Комиссия составляет акт с перечнем уничтоженных документов. Функция этой бумаги — удостоверить, что процедура была совершена по всем правилам. Члены комиссии в подтверждение этого ставят на акте свои подписи.
  4. Уничтоженные бумажные носители с персональными данными должны быть списаны с различных книг и журналов учета подобного рода документов.

Важно! Если из организации увольняются сотрудники, то оригиналы, а в некоторых случаях еще и копии документов должны быть выданы им на руки, уничтожению подвергаются только копии документов и только после определенного срока хранения. То же самое касается клиентов компании.

Способы уничтожения

Информация на уничтожаемых носителях не должна быть подвержена восстановлению. В случае с бумажными носителями используют такие способы уничтожения, как измельчение (ножницами или с помощью шредера), сжигание, гидрообработка. При данной обработке носители будут невосстановимы.

За результативность процесса несут ответственность члены специально созданной комиссии в компании.

Составляем акт уничтожения персональных данных на бумажных носителях

Акт можно написать от руки или набрать на компьютере и впоследствии распечатать и подписать. Желательно брать «фирменный бланк» компании с ее реквизитами.

Итак, в шапке документа должны быть:

  1. Наименование оператора персональных данных. Это название организации.
  2. Отметка руководителя об утверждении акта. Здесь должны быть указаны дата подписания, должность и подпись с расшифровкой. Блок заполняется в последнюю очередь.
  3. Наименование документа.
  4. Место составления.
  5. Дата составления.

Далее начинается основная часть, где указывают следующее:

  1. Состав комиссии. Пишут должности и ФИО членов комиссии и председателя.
  2. На основании какого документа действует комиссия (приказ, распоряжение). Чаще всего это приказ.
  3. Ссылку на закон о персональных данных — ФЗ №152 от 27.07.2006 г.
  4. Дату уничтожения.
  5. Тип носителей.
  6. Список уничтоженных документов. Его можно оформить в виде таблицы с следующими графами: порядковый номер, номер и наименование носителя, примечание или пояснение.
  7. Каким путем было проведено уничтожение данных.
  8. Основание для проведения процедуры уничтожения.

Завершают документ подписи председателя и членов комиссии. После подписания акт передают руководителю для утверждения. Он ставит свою подпись в соответствующей графе на бланке.

В идеале в документе не должно быть ошибок (орфографических, грамматических и любых других). Если вдруг была обнаружена фактическая ошибка, то ее, конечно, нужно исправить, используя стандартный порядок исправления и завизировав внесенные коррективы. При большом количестве ошибок лучше взять новый бланк, заполнить его, а старый документ уничтожить.

Энциклопедия МИП » Трудовые споры » Защита прав работников » Хранение и использование персональных данных работников

Чтобы обезопасить граждан от неправомерного использования личных данных трудовым законодательством разрабатываются специальные нормативные акты.

Трудовые отношения предусматривают составление специальной документации и заключение трудовых договоров, распоряжений и приказов. Обязательным условием для подписания данных бумаг является внесение достоверных личных данных сторон (инициалов, фактического адреса, сведений о рабочей квалификации, должностных обязанностях и др.).

Чтобы обезопасить граждан от неправомерного использования личных данных трудовым законодательством разрабатываются специальные нормативные акты, в которых регламентируется обработка, передача и защита информации о сотрудниках работодателем. Поэтому все работодатели обязаны соблюдать порядок хранения и использования персональных данных работников.

Хранение персональных данных работников

Специальное нормативное положение, в котором определяются правила по распоряжению личной информацией сотрудников работодателем, предусматривает соблюдение определенных требований:

  • конкретная форма, в которой хранятся личные данные сотрудников, должна соответствовать всем требованиям и полностью идентифицировать субъекта личной информации;
  • срок сохранения информации не должен превышать времени, которого будет достаточно для воплощения целей, в соответствии с которой требуется обработка;
  • данные необходимо уничтожать непосредственно после достижения всех целей, для которых была организована обработка информации;
  • информация должна быть удалена в случае отсутствия необходимости дальнейшей обработки и использования данных.

Обработка, передача и защита личных сведений сотрудников поручается ответственному оператору, который должен соблюдать все правила и специальное законодательное положение. Если же по каким-либо причинам должностное лицо не может самостоятельно выполнять свои прямые обязанности, то он должен поручить обработку и защиту информационных данных иному сотруднику на основании официально заключенного договора.

Важнейшим условием данного документа является указание специальной обязанности, в соответствии с которой обеспечивается обработка, передача и защита личной информации при соблюдении конфиденциальности и полной безопасности.

Кто имеет право обрабатывать и использовать персональные данные

Должностные лица, которые сталкиваются с обработкой и сохранением личной информации сотрудников, должны исполнять специальное положение. Подобные документы и правила составляются работодателем, а также чаще всего издаются в форме должностных инструкций, коллективных и индивидуальных трудовых договоров и др.

Положение или распоряжение включает правила защиты данных сотрудников, устанавливает перечень лиц, которым подлежит обработка и эксплуатация информации, срок обработки, основания и условия предоставления информации и др.

Хранение и использование личной информации сотрудников входит в компетенцию должностных лиц, которые назначаются непосредственно работодателем. В обязанности данных граждан входит соблюдение всех норм по обработке и распоряжению личными данными подчиненных. Законодательными актами регламентируется срок, правила, а также перечень лиц на руководящих должностях, которые должны работать с личной информацией сотрудников:

  • главный специалист, который занимается защитой данных;
  • заместитель директора, в обязанности которого входит администрирование персоналом;
  • менеджер по управлению персоналом;
  • начальных отдела кадров.

На предприятиях и в компаниях обработка и сохранение личной информации также поручается рядовым работникам, например, бухгалтерам, инженерам по защите информации, управлению и подготовке кадров, документоводам, специалистам по защите данных и др.

Рядовые исполнительные должностные лица также сталкиваются с использованием и защитой информации в процессе выполнения своих обязанностей, например, секретари, референты, инспекторы и др., которые принимают заявления и различные документы.

Порядок хранения персональных данных работников

Должностное лицо обязано соблюдать специальное положение, в котором регламентируется обработка, сохранение и защита личной информации, личных дел сотрудников. Правила и порядок эксплуатации должны соблюдаться стороной работодателей. Данные лица должны обеспечить выполнение следующих функций:

  • составление и хранение первичной документации, которая издается в унифицированной форме;
  • сохранность бумаг, в которых ведется учет рабочих кадров;
  • хранение документации, в которой учитывается специфика распределения рабочего времени;
  • сохранность пакета документов, в котором ведется расчет об оплате труда рабочему персоналу.

Порядок и срок сохранения личной информации гражданских служащих определяет трудовое законодательство, а также специальное ведомственное положение.

Срок хранения

Специальное положение о сохранении и защите личной информации регламентирует срок, в пределах которого допускается использование и хранение личных данных. Соответственно, трудовые книжки и дубликаты, которые не были забраны или в случае смерти работников, размещаются в активах предприятиях на срок до востребования. Если же такие документы относятся к классу невостребованных бумаг, то они размещаются в архивах компаний на срок не менее пятидесяти лет.

Положение, в котором определяется специфика индивидуального учета в системе пенсионного страхования, устанавливает срок сохранения личных данных граждан работниками государственного пенсионного фонда. Срок хранения таких бумаг составляет не менее шести лет. Данные документы должны соответствовать следующим требованиям:

  • содержать в себе какие-либо данные об индивидуальном счете лица, которое застраховано программой социального страхования;
  • быть оформлены в установленной письменной форме и заверены соответствующими подписями граждан;
  • быть представлены в электронной форме, так как юридическая сила таких документов должна подтверждаться электронной цифровой подписью, при условии соблюдения законной процедуры подписания;
  • содержать в себе данные о всех страховых взносах лиц и страховом стаже граждан;
  • предоставляться работодателями в государственные заведения по пенсионному страхованию с целью индивидуального учета граждан в общей системе обязательного страхования для предоставления социальных пенсий.

Иные документы, которые содержат в себе данные о пенсионном страховании, хранятся в архивах пенсионных учреждений не мене трех лет. Соответствующие документы подлежат уничтожению, когда срок их хранения истекает.

В таком случае уничтожение бумаг возможно исключительно после факта ознакомления застрахованным лицом со всеми данными о лицевом счете и страховом стаже.

Акты, в которых указываются случаи расследований профессиональных заболеваний должны храниться не менее 75 лет в активах государственного учреждения, которое специализируется на санитарно-эпидемиологическом надзоре и вело дело о расследовании конкретного происшествия. Работодатели должны хранить следующие документы на протяжении 45 лет с копиями и материалами расследования:

  • акты о несчастных случаях на производстве;
  • акты о несчастных случаях, которые касаются группы лиц;
  • документы о расследовании тяжелого несчастного случая;
  • бумаги о несчастных случаях сл смертельным исходом и др.

Нормативные акты о защите данных

При разработке локальных нормативных актов, которые касаются защиты личной информации сотрудников, учитывается законодательное положение, а также специфика работы предприятия. В соответствующих нормативных актах регламентируются следующие положения:

  • перечень личной информации сотрудников, которые нужны работодателю для выполнения всех трудовых обязанностей;
  • список лиц, которые имеют право получать личные данные;
  • правила хранения, обработки, передачи, защиты и предоставления личной информации;
  • должностное лицо, которое имеет право хранить персональные данные сотрудников, а также осуществлять контроль за процессом сохранения информации.

Помимо обязанностей работодателя, нормативные акты включают перечень прав и обязанностей сотрудников, которые касаются необходимости предоставления достоверной информации, а также обеспечения надежного хранения данных и соблюдения конфиденциальности.

Основные нормативные документы

Федеральный закон Российской Федерации от 27.07.2006 г. N 152-ФЗ «О персональных данных»

Трудовой кодекс Российской Федерации от 30.12.2001 г. № 197-ФЗ (14 глава, с изменениями и дополнениями)

Постановление Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Постановление Правительства Российской Федерации от 6.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

Постановление Правительства Российской Федерации от 15.08.2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации

Постановление Правительства Российской Федерации от 16.03.2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»

Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

Приказ Россвязькомнадзора от 17.07.2008 г. № 08 «Об утверждении образца формы уведомления об обработке персональных данных»

Приказ Россвязькомнадзора от 18.02.2009 № 42 «О внесении изменений в приказ Россвязькомнадзора от 17 июля 2008г. № 8 «Об утверждении образца формы уведомления об обработке персональных данных»

ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»

Входящие документы

Первое письмо Рособразования от 28.04.2008 г.

Второе письмо Рособразования от 29.07.2009 г.

Третье письмо Рособразования от 22.10.2009 г.

Общий список законов и нормативных документов, регламентирующих обработку персональных данных.

Работа с «персональными данными» регламентируется следующими основными документами:

«Конституция Российской Федерации» от 12.12.93 г.;

Указ Президента РФ № 188 от 06.03.97 г. «Об утверждении перечня сведений конфиденциального характера»;

Федеральный закон № 149-ФЗ от 27.07.06 г. «Об информации, информационных технологиях и о защите информации»;

Федеральный закон № 197-ФЗ от 30.12.01 г. «Трудовой кодекс Российской Федерации»;

Федеральный закон № 152-ФЗ от 27.07.06 г. «О персональных данных»;

Постановление Правительства РФ № 781 от 17.11.07 г. «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

Приказ Россвязьохранкультуры № 154 от 28.03.08 г. «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»;

Приказ ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13.02.08 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

Указ Президента РФ № 351 от 17.03.08 г. «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;

Указ Президента РФ № 609 от 30.05.05 г. «Об утверждении положения о персональных данных государственного гражданского служащего российской Федерации и ведении его личного дела»;

Постановление Правительства РФ № 1233 от 03.11.94 г. «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных

Техническая защита персональных данных регламентируется следующими основными документами:

Федеральный закон № 128-ФЗ от 08.08.01 г. «О лицензировании отдельных видов деятельности»;

Постановление Правительства РФ № 45 от 26.01.06 г. «Об организации лицензирования отдельных видов деятельности»;

Постановление Правительства РФ № 504 от 15.08.06 г. «О лицензировании деятельности по технической защите конфиденциальной информации»;

«Положение о государственном лицензировании деятельности в области защиты информации», решение Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации № 10 от 27.04.94 г.;

«Положение по аттестации объектов информатизации по требованиям безопасности информации», утверждено Председателем Государственной технической комиссии при Президенте РФ 25.11.94 г.;

Постановление Правительства РФ № 608 от 26.06.95 г. «О сертификации средств защиты информации»;

«Положение о сертификации средств защиты информации по требованиям безопасности информации», приказ Председателя Гостехкомиссии России № 199 от 27.10.95 г.;

Указ Президента РФ № 334 от 03.04.95 г. «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации»;

Указ Президента РФ № 1085 от 16.08.04 г. «Вопросы Федеральной службы по техническому и экспортному контролю»;

документы ФСБ и ФСТЭК России по обеспечению безопасности конфиденциальной (персональные данные) информации;

другие законодательные акты.

Нормативно-правовая база по смежным направлениям:

Закон № 5341-1 от 07.07.93 г. «Об архивном фонде Российской Федерации и архивах»;

Федеральный закон № 25-ФЗ от 02.03.07 г. «О муниципальной службе в Российской Федерации»;

Постановление Государственного Комитета Российской Федерации по стандартизации и метрологии № 454-ст от 06.11.01 г. «О принятии и введении в действие ОКВЭД»;

Материалы Минэкономразвития России «О создании системы персонального учета населения Российской Федерации»;

Распоряжение Правительства Российской Федерации № 748-р от 09.06.05 г. «Концепция создания системы персонального учета населения Российской Федерации»;

Указ Президента РФ № 320 от 12.03.07 г. «О Федеральной службе по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия»;

Постановление Правительства РФ № 419 от 02.06.08 г. «Об утверждении положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций»;

Приказ Федеральной Службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия № 128 от 19.03.08 г. «Об утверждении административного регламента Федеральной Службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по исполнению государственной функции по рассмотрению обращений операторов связи по вопросам присоединения сетей электросвязи и взаимодействия операторов связи, принятию по ним решений и выдаче предписаний в соответствии с федеральным законом»;

Федеральный закон № 40-ФЗ от 03.04.95 г. «О федеральной службе безопасности»;

Руководящий нормативный документ МВД России, утвержденный Заместителем Министра внутренних дел России «РД 78.143-92. Системы и комплексы охранной сигнализации, элементы технической укрепленности объектов. Нормы проектирования»;

Руководящий документ ГУВО МВД России «Р 78.36.007-99. Выбор и применение средств охранно-пожарной сигнализации и средств технической укрепленности для оборудования объектов. Рекомендации»;

Государственный стандарт РФ ГОСТ Р 51141-98 «Делопроизводство и архивное дело. Термины и определения», утвержденный Постановлением Госстандарта РФ № 28 от 27.02.98 г.;

«Квалификационный справочник должностей руководителей, специалистов и других служащих», утвержденный постановлением Минтруда РФ № 37 от 21.08.98 г.;

«Правила устройства электроустановок», утвержденные приказом Минпромэнерго России;

другие законодательные акты.

Ответственность за нарушение требований в части защиты персональных данных отражена в следующих документах:

Федеральный закон № 197-ФЗ от 30.12.01 г. (с изменениями) «Трудовой кодекс Российской Федерации»;

Федеральный закон № 63-ФЗ от 13.06.96 г. (с изменениями) «Уголовный кодекс Российской Федерации»;

Федеральный закон № 195-ФЗ от 30.12.01 г. (с изменениями) «Кодекс Российской Федерации об административных правонарушениях».

Записи созданы 8837

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Похожие записи

Начните вводить, то что вы ищите выше и нажмите кнопку Enter для поиска. Нажмите кнопку ESC для отмены.

Вернуться наверх