Содержание

период действия и хранения согласия, срок обработки данных

Хозяйствующие субъекты всех форм собственности производят сбор, обработку и хранение персональных данных. Например, своих сотрудников или клиентов. При этом необходимо в законном порядке получить согласие в письменном виде на обработку таких сведений. В статье особое внимание уделено вопросу о том, в течение какого времени действует это согласие.

Содержание статьи

Нормативная база

Основные принципы законодательства для использования личных сведений регулируются законом № 152-ФЗ от 27.07.2006 года «О персональных данных». Согласно указанному документу проводить какие-либо действия, касающиеся личной информации о человеке, можно только имея на это письменное согласие. Такая бумага должна включать, ст. 9 закона 152-ФЗ:

  1. Полное имя, паспортные реквизиты субъекта индивидуальных сведений.
  2. Причина, по которой допустимо использовать информацию.
  3. Список сведений, которые можно обрабатывать.
  4. Конкретные методы использования личной информации.
  5. Указание периода, в течение которого можно использовать информацию.
  6. Личная роспись человека.

Если известно, что в дальнейшем перечисленная в согласии информация может быть передана для каких-либо действий оператору обработки, указывается его полное наименование.

Случаи, когда необходимо согласие владельца персональной информации

Существует несколько причин, по которым человеку требуется предоставлять свои персональные сведения для использования:

  • При устройстве на новое место работы. В этой ситуации невозможно обойтись без паспорта, ИНН, СНИЛС, трудовой книжки, медицинской справки, дипломов. В зависимости от специфики выполняемых трудовых обязанностей могут понадобиться иные ведомости.
  • При включении в кадровый резерв предприятия. При этом перечень необходимых документов может быть значительно меньше, чем в первом случае.
  • При формировании клиентской базы. Например, в банке или у оператора сотовой связи. Это необходимо для предоставления качественных услуг и приглашения клиента к участию в акциях, распродажах, программах лояльности.
  • Особые условия. Например, для организации пропускного режима на секретных или ограниченных для посещения сторонних людей объектах потребуется использование биометрических параметров. К ним могут быть отнесены: сетчатка глаза, отпечатки пальцев, голосовой тембр.

Принципы работы с персональной информацией

На основании указанного закона организация, которая имеет дело с обработкой персональных сведений, издает локальные нормативные акты о порядке их использования и применения. Будет это приказ, распоряжение, постановление – решает руководитель. Главное правило – процесс работы с информацией должен быть описан в полной мере, ст. 5 закона 152-ФЗ.

В соответствии с действующим законодательством, уполномоченное должностное лицо обязано размещать информацию, касающуюся правил обработки данных, для ознакомления заинтересованных лиц. Например, на официальном сайте компании или на специальных стендах, информационных досках.

Подписание одобрения на обработку персональных данных является обязательным документом для каждого работника. Если возникает конфликтная ситуация, и сотрудник отказывается предоставлять необходимую информацию о себе, потребуется его переубедить. Без согласия работодатель не сможет использовать персональные сведения для корректного исполнения своих обязанностей и ведения отчетности.

Любой человек, давший добро на какие-либо действия со своими личными данными, имеет полное право получить в письменном виде информацию о том, использовались ли они когда-либо и каким образом. Если да, то для каких именно целей?

Определение сроков хранения и использования личной информации

Законом установлено, что в одобрении на использование персональных ведомостей обязательно должен быть прописан срок его действия. Однако не указано, в пределы какого временного периода этот срок должен укладываться, глава 2 закона 152-ФЗ. То есть необходимо определить его по взаимному соглашению сторон. Существует три способа указания периода действия одобрения.

 По принципу установления ограниченного временного периода хранения

В этом случае необходимо указать конкретную дату, до наступления которой согласие имеет законную силу. Следует учесть один нюанс – по истечении указанного срока может возникнуть необходимость использования личных данных субъекта. Но, пока не будет оформлено новое соглашение, делать этого будет нельзя.

Проволочки с документами приведут к потере времени, что может повлечь за собой разные проблемы. Чтобы их избежать, необходимо держать на контроле срок действия указанного документа. За несколько дней до установленной даты, нужно просто подписать новое одобрение на обработку персональных сведений.

По принципу наступления условий прекращения использования ведомостей

В этом случае для определения срока действия согласия вместо конкретной даты в документе указывается наступление какого-либо события. Например – до момента увольнения сотрудника с занимаемой должности. Или – до окончания пользования клиентом услугами страховой компании. Этот принцип более удобен с точки зрения сокращения времени на оформление бумаг. Пока работник не уволился – не потребуется дополнительно просматривать его бумаги на обработку персональных данных. Также не нужно готовить дополнительные документы для подписания.

Комбинированный вариант

Для установления срока действия согласия используются сразу и дата, и наступление определенных обстоятельств. Например, клиент оформил займ в кредитной организации. Банк планирует, что использование информации о нем может потребоваться в течение трех лет после погашения долга. Поэтому в документе будет указано, что его срок действия составляет – в течение трех лет с момента полного исполнения обязательств по погашению долга.

Единственное условие, которое необходимо выполнить в соответствии с законом – это указать срок действия одобрения на обработку данных. А в каком именно виде, и какой будет указан срок – решает руководитель организации.

Документы для скачивания (бесплатно)

Основные моменты при составлении согласия на обработку

Закон 152-ФЗ устанавливает ряд необходимых требований к оформлению одобрения на использование индивидуальных сведений. Игнорировать их ни в коем случае нельзя. При составлении документа нужно детально проработать и отразить следующие реквизиты.

Цель

Никто не пожелает выставлять свои личные данные на всеобщее обозрение. Поэтому в документе потребуется четко указать, для чего может потребоваться их обработка, для кого они будут доступны и при каких обстоятельствах. Например, при приближении сотрудника к пенсионному возрасту, кадровая служба имеет право передавать копии его документов в пенсионный фонд. От предоставления ведомостей в ПФ зависит своевременное начисление пенсии.

И наоборот, если работник рассчитывает на то, что информация о нем будет использоваться только для рабочих целей, вряд ли ему понравится, что работодатель предоставил его индивидуальные данные для участия, например, в викторине.

Период работы с полученными ведомостями

Необходимо в установленном порядке указывать срок действия согласия на обработку персональных данных. Например, человек три года назад уволился с занимаемой должности, а организация предоставляет его данные для оформления зарплатной карты в неком банке. Такое обстоятельство, скорее всего, вызовет недовольство бывшего работника. Поэтому не стоит игнорировать установление периода обработки во избежание дальнейших проблем. Ведь разрешивший использовать информацию может обратиться с заявлением в суд или прокуратуру.

Срок хранения документов

Если добро на использование персональной информации было получено для осуществления какой-то конкретной цели, то оно уничтожается в течение месяца после ее достижения, ст. 21 закона 152-ФЗ. Например, организация заключила договор купли-продажи с физическим лицом, которое предоставило свои данные и согласие на их использование. После исполнения сторонами своих обязательств, указанные сведения хранить ни к чему.

Когда речь идет о трудовых отношениях необходимо учесть, что законодательство предписывает хранить любые документы, касающиеся сотрудника в течение 75 лет. Распространяется это правило и на бумаги о работе с частными сведениями.

Условия продления сроков

Если период согласия был определен до наступления конкретной даты, то со временем может понадобиться его продление. Это можно сделать разными способами:

  • оформить дополнительное соглашение между сторонами о продлении;
  • подписать новое одобрение;
  • прописать в тексте согласия, что по истечении установленной даты оно продлевается автоматически на определенный период.

То же самое касается согласия до наступления определенного обстоятельства. После наступления указанных в документе условий придется его продлевать. В этом отношении комбинированный способ определения периода действия разрешения будет наиболее оптимальным.

Для того, чтобы избежать конфликтных ситуаций и непонимания между заинтересованными сторонами, уполномоченному на обработку персональных сведений лицу непременно стоит изучить нормы действующего законодательства, прописанные в законе 152-ФЗ, и обеспечить их исполнение.

Правила составления согласия на использование личных данных изложены в видео ниже.

znaybiz.ru

Сколько лет нужно хранить после увольнения работников согласие на обработку персональных данных?

Сколько лет нужно хранить после увольнения работников согласие на обработку персональных данных?

Ответ на вопрос:

Сроки, в течение которых нужно хранить документы по личному составу, указаны в статье 22.1 Закона от 22 октября 2004 г. № 125-ФЗ и перечне, утвержденном приказом Минкультуры России от 25 августа 2010 г. № 558. Началом срока хранения документов считается 1 января года, следующего за годом, в котором они были закончены делопроизводством, а не с даты создания (п. 2 ст. 21.1 Закона от 22 октября 2004 г. № 125-ФЗ).

Документы (заявления работника о согласии на обработку персональных данных, сведения, уведомления) о субъекте персональных данных хранятся 75 лет (п. 666 Перечня).

Этот срок касается всех работников, в том числе и бывших.

Подробности в материалах Системы Кадры:

1.Ответ: Какие сроки хранения кадровых документов

Н.З. Ковязина

Сроки, в течение которых нужно хранить документы по личному составу, указаны в статье 22.1 Закона от 22 октября 2004 г. № 125-ФЗ и перечне, утвержденном приказом Минкультуры России от 25 августа 2010 г. № 558. Началом срока хранения документов считается 1 января года, следующего за годом, в котором они были закончены делопроизводством, а не с даты создания (п. 2 ст. 21.1 Закона от 22 октября 2004 г. № 125-ФЗ).

Так, приказы о приеме на работу, переводе, увольнении, об отпуске без сохранения зарплаты и другие приказы по личному составу, а также заявления сотрудников, если они хранятся в их личных делах, в общем случае нужно хранить не менее 75 лет, если они закончены делопроизводством до 1 января 2003 года. Если указанные документы закончены делопроизводством после 1 января 2003 года, то их нужно хранить не менее 50 лет.

Трудовые договоры, личные карточки и личные дела сотрудников также нужно хранить в течение 75 лет, если они закончены делопроизводством до 1 января 2003 года, или в течение 50 лет, если они закончены делопроизводством после 1 января 2003 года, а личные дела руководителей – постоянно. Также постоянно положено хранить штатное расписание.

Однако указанные сроки хранения не распространяются на документы по личному составу, в отношении которых перечнем архивных документов установлены иные сроки хранения (п. 4 ст. 22.1 Закона от 22 октября 2004 г. № 125-ФЗ).

При этом любые документы по личному составу, которые образовались в период госслужбы, не являющейся государственной гражданской службой, нужно хранить 75 лет независимо от даты их создания.

Такой порядок предусмотрен в статье 22.1 Закона от 22 октября 2004 г. № 125-ФЗ.

Приказы о предоставлении ежегодных и учебных отпусков, направлении в командировки на территории России (равно как и другие документы о командировках: задания, отчеты и т. п.), а также приказы о взысканиях и заявления сотрудников, если они хранятся отдельно, а не в личных делах, достаточно хранить только пять лет.

Такой вывод следует из пунктов 19 и 665 перечня, утвержденного приказом Минкультуры России от 25 августа 2010 г. № 558.

Материалы по аттестации рабочих мест следует хранить 45 лет, а при тяжелых, вредных или опасных условиях труда – 75 лет.

Правила трудового распорядка храните даже после замены их новыми. Срок хранения – один год. Годичный срок хранения установлен и для графиков отпусков.

Срок, в течение которого нужно хранить документы, подтверждающие, что сотрудник получил образование за счет организации, обусловлен требованиями налогового законодательства. Дело в том, что пунктом 3 статьи 264 Налогового кодекса РФ установлено, что для списания данных затрат в уменьшение налогооблагаемой прибыли организация должна хранить все подтверждающие обучение документы (договор с образовательным учреждением, приказ руководителя о направлении сотрудника на обучение, акт об оказании услуг, диплом, аттестат, сертификат и т. п.). Их срок хранения ограничивается сроком действия договора обучения и одним годом работы сотрудника, но не менее четырех лет.

С уважением и пожеланием комфортной работы, Татьяна Козлова,

эксперт Системы Кадры

www.kdelo.ru

➤ Хранение персональных данных работников

При приеме на работу работодатель запрашивает у сотрудника сведения конфиденциального характера. Узнайте, как обеспечить надежную защиту, чтобы избежать штрафов и административного наказания.


Скачайте документы по теме:


Какая информация попадает под требования хранения персональных данных

Хранение персональных данных должно осуществляться в порядке, установленном законодательством. Сохранности информации конфиденциального характера уделяют особое внимание. Законодатель ужесточил наказание для работодателей, не соблюдающих установленный порядок хранения и защиты персданных.

Принимая сотрудников на работу, проводится запрос сведений конфиденциального характера, которые требуются для соблюдения трудового, бухгалтерского, налогового законодательства. Работодатель становится оператором, обеспечивающим обработку и хранение персональных данных в организации в соответствии с Федеральным законом от 27.07.2006 года под № 152-ФЗ «О персональных данных». Это обязывает соблюдать правила хранения персональных данных.

Сохранность персональных данных обеспечивают любой информации, которая относится к конфиденциальной, прямо или косвенно касается физического лица, это установлено статьей третьей Федерального закона № 152-Ф3 от 27 июля 2006 года.

К данным общего характера относятся:

  1. Ф.И.О.
  2. Дате, месте рождения.
  3. Домашнем адресе.
  4. Уровне образования.
  5. Полученной профессии.
  6. Фактах биографии.
  7. Финансовом положении.
  8. Службе в армии.
  9. Судимости.
  10. Семейном положении.
  11. Наличии детей.
  12. Родственных связях и прочих сведениях, позволяющих так или иначе идентифицировать определенного человека.

В Законе о персданных упоминается и специальная информация конфиденциального характера. К ней относится расовая, национальная принадлежность субъекта, философские убеждения, интимная жизнь, состояние здоровья и так далее. По общему правилу работодатель не вправе запрашивать и обрабатывать такие сведения. К исключениям относятся случаи, которые предусмотрены ч. 2 ст. 10 Закона о персданных.

Обработка и хранение персональных данных биометрического вида, которые характеризуют биологические особенности человека, проводятся только после получения письменного согласия субъекта таких данных. К исключениям относятся случаи, установленные ч. 2 ст. 11 Закона о персданных.

Работодатель вправе требовать предоставить только сведения, которые нужны для трудового процесса. Например, информация об имущественном, социальном статусе гражданина не имеет ни малейшего отношения к трудовым процессам субъекта.

Нужные для работы сведения содержатся в трудовой книжке, в документе, удостоверяющем личность, в личных карточках и так далее. Это информация конфиденциального характера требуется для составления трудового договора, оформления иных документов при трудоустройстве.

★ Эксперт «Системы Кадры» расскажет, как организовать обработку персданных. Из статьи вы узнаете, какая информация относится к общедоступной, как получить разрешение от сотрудника на обработку и как уведомить Роскомнадзор.

Где хранятся персональные данные, находящиеся в компьютерной базе

Порядок хранения персональных данных, находящихся в компьютерной базе, закрепляют в Положении.

Высокий риск доступа к информации конфиденциального характера заставляют принимать повышенное количество мер для ее защиты. Организация вправе ввести систему паролей и менять их с определенной периодичностью. Доступ к компьютерам, где хранятся индивидуальные сведения сотрудников, ограничивают. В запирающиеся шкафы или сейфы помещают дискеты, диски с носителями данных конфиденциального характера.

Персданные обрабатывают в соответствии с п. 8−16 Требований, утвержденных постановлением Правительства РФ от 1.11.2012 года под № 1119.

Организации вправе обеспечивать защиту персданных как самостоятельно, так и привлекая сторонние специализированные организации, имеющие лицензию по защите конфиденциальной информации. Такие разъяснения представлены в п. 17 Требований.

★ Узнайте в журнале «Кадровое дело», за какие ошибки при работе с персданными компании могут начислить крупные штрафы

Как осуществляется обработка и хранение персональных данных в организации

О том, как хранить персональные данные, заботится работодатель за счет своих средств. Это установлено п. 7 ст. 86 ТК РФ. В организации обязаны обеспечить защиту данных от несанкционированного использования или от утраты.

Хранение персональных данных работников: пошаговая инструкция

Шаг первый

Издать локальный нормативный акт. Положение о персданных будет регулировать хранение персональных данных работника, порядок обработки и использования. С документом знакомят всех сотрудников под подпись. Сделать это надо до момента подписания трудового договора на основании статьи 68 ТК РФ. При отсутствии подписи в дальнейшем невозможно будет доказать, что работник ознакомлен с локальным нормативным актом.

Смотреть пример

Шаг второй

Утвердить положение о персданных приказом руководителя. В случае проверки ГИТ могут запросить этот документ, чтобы проверить факт ознакомления с ним работников. При нарушении требований законодательства работодателя вправе привлечь к ответственности в соответствии с частью первой 5.27 КоАП РФ. При повторном нарушении ответственность наступает согласно части второй статьи 5.27 КоАП РФ.

Шаг третий

Работодатель утверждает документы, которые содержат перечень персданных. В документ включают все сведения, которые работник письменно сообщил о себе при поступлении на работу, а также те, которые используют в дальнейшем при оформлении соответствующей кадровой документации. В перечне указывают и документы, содержащие сведения о сотрудниках, которые в дальнейшем организация обязана предоставить в различные государственные органы (в налоговую и в трудовую инспекции, в органы статистики и так далее).

Шаг четвертый

Работодатель обязан приказом назначить ответственных лиц за работу с персданными, а также ответственных за обеспечение их безопасности. Такими сотрудниками могут стать конкретные лица или подразделения, например, отдел кадров, кадровик. Приказ доводят до сведения всех ответственных лиц под подпись.

Шаг пятый

Для проверяющих ГИТ следует подготовить:

  • заявления работников о согласии на обработку персданных;
  • журналы учета таких сведений, их выдачи и передачи третьим лицам и представителям различных организаций, госорганам;
  • журнал проверок наличия всех документов, содержащих персданные работника.

Шаг шестой

Приказом руководителя установить полный перечень мест хранения документации, которая относится к носителю конфиденциальной информации. Подготовить полный перечень мер, необходимых для обеспечения полной сохранности персданных, порядок их принятия. Всю информацию помещают в специальные запирающиеся шкафы или в сейфы, к которым имеют доступ только назначенные ответственные лица.

★ Узнайте в «Системе Кадры», как организовать защиту персональных данных сотрудников в организации. Из статьи вы узнаете о порядке обработки и хранения информации конфиденциального характера, о методах обеспечения защиты.

Каковы штрафы, если нарушены правила хранения персональных данных

Если нарушено хранение персональных данных сотрудников, работодателю, ответственным лицам грозит дисциплинарная, материальная, административная или уголовная ответственность (на основании ст. 90 ТК РФ, ч. 1 ст. 24 Закона от 27 июля 2006 года под № 152-ФЗ).

К дисциплинарной ответственности привлекают только тех сотрудников, которые приняли на себя обязательства соблюдать все правила работы с персданными и допустили нарушение (с учетом ст. 192 ТК РФ).

Материальная ответственность предусматривается, если в связи с нарушением правил работы с данными конфиденциального характера организации причинен прямой действительный ущерб (на основании ст. 238 ТК РФ).

★ Эксперт «Системы Кадры» подробно расскажет, какая ответственность грозит организации и ее должностным лицам за нарушения в работе с персданными. В статье вы найдете размер штрафов и инструкцию, как избежать ответственности.

Вывод

Хранение персональных данных должно осуществляться в порядке, установленном законодательством. Сохранности информации конфиденциального характера уделяют особое внимание. Законодатель ужесточил наказание для работодателей, не соблюдающих установленный порядок хранения и защиты персданных. Работодателю можно порекомендовать проверить всю документацию, которая касается персданных. От работников должно быть получено письменное согласие на обработку, хранение и передачу таких сведений.

www.kdelo.ru

Где хранить согласие на обработку персональных данных работника?

Где хранить согласие на обработку персональных данных работника: в его личном деле или в отдельной папке, где согласия всех работников вместе.

Ответ на вопрос:

Вы можете хранить согласия как в личных делах работников, так и отдельно. Места хранения документов работодатель определяет самостоятельно – отражает такую информацию в номенклатуре дел.

Порядок хранения документов в кадровой службе определяется номенклатурой дел организации пункт 3.2.5 ГСДОУ, утвержденной приказом Главархива СССР от 25 мая 1988 г. № 33. В которой и следует отразить в каких делах (папках) какие документы у Вас хранятся.

Конкретный порядок осуществления кадровых процедур можно отразить в Инструкции по кадровому делопроизводству.

Организации обязаны обеспечивать сохранность архивных документов, в том числе документов по личному составу, в течение сроков их хранения, установленных:

 федеральными законами;

 иными нормативными правовыми актами Российской Федерации;

 перечнями документов, утвержденными уполномоченным федеральный орган исполнительной власти в сфере архивного дела и делопроизводства (для коммерческих организаций это, прежде всего приказ Минкультуры России от 25 августа 2010 г. № 558).

Такие правила установлены часть 1 статьи 17, частью 1 статьи 21.1 Закона от 22.10.2004 № 125-ФЗ.

Так, в общем случае срок хранения документов по личному составу устанавливается с 1 января, следующего за годом окончания делопроизводства, и составляет:

 75 лет, если делопроизводство завершено до 1 января 2003 года;

 50 лет – если после 1 января 2003 года.

Однако если перечнями документов установлен иной срок хранения, применяются сроки, указанные в таких перечнях.

Такие правила установлены частями 1-2, 4 статьи 22.1, частью 2 ст. 21.1 Закона от 22.10.2004 № 125-ФЗ.

Согласия на обработку персональных данных хранятся 75 лет, как и личные дела работников (ст. 656, ст. 666 перечня, утвержденного приказом Минкультуры России от 25 августа 2010 г. № 558). Поэтому согласия могут храниться как отдельно, так и в личных делах.

Подробности в материалах Системы Кадры:

Ситуация: Вопрос из практики: где хранить заявления сотрудников

Ответ на этот вопрос зависит от порядка хранения документов по личному составу в каждой организации.

Конкретный порядок ведения документооборота в организации, в том числе ведения и хранения кадровых документов, организация устанавливает самостоятельно с учетом требований законодательства (п. 2 ст. 12 Закона от 8 февраля 1998 г. № 14-ФЗ). Исключением являются организации, в которых конкретный порядок закреплен на законодательном уровне.

На практике организации либо хранят все заявления сотрудников в их личных делах, в случае если они ведутся, либо в отдельных делах, либо группируют с приказами, для которых они являются основаниями. При этом необходимо учесть, что в зависимости от выбранного способа у заявлений получаются различные сроки хранения. Так, заявления сотрудников, в случае если они хранятся в их личных делах, нужно хранить не менее 75 лет, если они созданы до 2003 года, или не менее 50 лет, если они созданы после 2003 года. А если они хранятся отдельно, то только пять лет. Такой вывод следует из статьи 22.1 Закона от 22 октября 2004 г. № 125-ФЗ и пункта 665 Перечня, утвержденного приказом Минкультуры России от 25 августа 2010 г. № 558.

Таким образом, каждая организация самостоятельно выбирает способ хранения заявлений сотрудников, за исключением организаций, в которых такой порядок закреплен законодательно.

Нина Ковязина,

заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

С уважением и пожеланием комфортной работы, Роман Кондратюк,

эксперт Системы Кадры

www.kdelo.ru

Хранение и обработка персональных данных

С 01.09.2015 вступит в силу Федеральный закон от 21.07.2014 N 242-ФЗ (ред. от 31.12.2014)"О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях". В связи с эти просим пояснить.- Можно ли хранить персональные данные (в том числе полученные посредством информационно-телекоммуникационной сети «Интернет»), параллельно, в дата центре России и дата центрах стран ЕС (Эстония) в порядке трансграничной передачи, или личные данные должны находится только в России и нигде больше?- Закон предписывает хранение данных на территории РФ или и хранение и обработку тоже?- Можно ли обрабатывать личные данные, хранящиеся в России, на серверах стран ЕС в порядке трансграничной передачи. Грубо говоря, база личных данных находится в РФ, а программа использующая эти данные находится на сервере в стране ЕС.- Нужно ли как-то информировать пользователей о том, как и где хранятся \ используются их личные данные. Может на какие-то операции с личными данными нужно получить согласие пользователя…

1) Исходя из буквального толкования п. 1 ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ персональные данные должны храниться только в России.

2) Хранение и обработку. В соответствии с п. 3 ст. 3 Закона № 152-ФЗ обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В п. 1 ст. 2 Закона № 242-ФЗ говорится о записи, систематизации, накоплении, хранении, уточнении (обновлении, изменении), извлечении персональных данных граждан Российской Федерации.

3) Скорее всего, можно. В Законе говорится только о том, что базы данных должны находиться в РФ.

4) Нет, не нужно. Субъект персональных данных вправе запросить эту информацию в соответствии с ч. 7 ст. 14 Закона № 152-ФЗ. Необходимо получить согласие субъекта на обработку его персональных данных на основании ст. 9 Закона № 152-ФЗ. В данном согласии можно также прописать согласие субъекта на обработку его биометрических данных (ст. 11 Закона), специальных категорий персональных данных (ст. 10 Закона), трансграничную передачу персональных данных (ст. 12 Закона).

Обоснование данной позиции приведено ниже в материалах «Системы Юрист».


Согласие на обработку персональных данных. Как решаются спорные вопросы на практике

«Согласие требуется во всех случаях, которые не названы в качестве исключений в части 2 статьи 6 закона № 152-ФЗ. Согласно части 1 статьи 9 закона № 152-ФЗ, такое согласие субъект ПДн дает своей волей и в своем интересе. На практике операторы собирают подтверждения согласия практически в любом случае обработки данных. Основная причина этой ситуации заключается в том, что предусмотренные в части 2 статьи 9 закона № 152-ФЗ исключения не учитывают нюансов практики обработки ПДн в конкретной компании. Иногда непросто определить, требуется ли согласие в определенной ситуации, поэтому фактически согласия берутся „на всякий случай“.*

Примеры спорных ситуаций

Приведем наиболее распространенные примеры трудностей в применении исключений из общего правила об обязательности получения согласия на обработку ПДн.

Передача ПДн работника в банк. Согласно пункту 1 части 2 статьи 6 закона № 152-ФЗ, согласие не требуется, если обработка ПДн осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПДн и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.

Трудовой кодекс является федеральным законом и устанавливает в статье 86 исчерпывающий список целей обработки ПДн работников: для обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. На практике возникает вопрос: можно ли считать передачу ПДн работника в банк для начисления заработной платы на банковскую карту случаем обработки данных в целях, заявленных в статье 86 Трудового кодекса? В отсутствие однозначного решения данного вопроса многие работодатели предпочитают брать согласия работников.

Онлайн-заявка с ПДн. Другое исключение из общего правила позволяет не брать согласие, когда обработка данных осуществляется в целях исполнения договора, одной из сторон которого является субъект ПДн (п. 2 ч. 2 ст. 6 закона № 152-ФЗ). Например, физическое лицо заполняет на сайте компании онлайн-заявку на продажу товаров, оказание услуг, выполнение работ и указывает свои ПДн. Требуется ли в данном случае согласие на обработку ПДн? С одной стороны, субъект ПДн фактическими своими конклюдентными действиями выражает согласие на возникновение договорных отношений с компанией. Такую ситуацию можно рассматривать как акцепт публичной оферты (п. 1 ст. 437, п. 3 ст. 438 ГК РФ), то есть обработка данных осуществляется в целях исполнения договора. Но в то же время эта ситуация подпадает под действие статьи 15 закона № 152-ФЗ, которая обязывает оператора, обрабатывающего ПДн „в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи“, осуществлять обработку данных только при условии предварительного согласия субъекта ПДн. Поэтому в данном случае тоже безопаснее запросить согласие клиента.

Выдача дисконтных карт. Еще одна распространенная ситуация — указание ПДн при заполнении анкеты для выдачи дисконтной карты. Хотя участие в дисконтной программе тоже, по сути, является разновидностью договорных правоотношений субъекта ПДн с компанией, вопрос о том, нужно или не нужно брать согласие, необходимо решать с учетом целей обработки данных в каждом конкретном случае. Статья 5 закона № 152-ФЗ закрепляет принцип соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе данных. Если ПДн, указанные в анкете, используются исключительно для оформления и использования дисконтных карт, то обработка ПДн осуществляется в рамках договорных отношений с субъектом данных. Акцепт условий действия дисконтной программы в форме совершения конклюдентных действий (заполнения заявления или анкеты для выдачи дисконтной карты) можно рассматривать как заключение дополнительного соглашения к договору купли-продажи товара. Следовательно, в таком случае согласие на обработку ПДн не требуется. Но если данные, указываемые клиентами в анкетах, обрабатываются не только для реализации дисконтной программы, но и для последующей рассылки клиентам рекламной информации, то в таком случае их согласие на обработку данных необходимо.

Передача данных третьим лицам. Особо следует отметить случаи, когда полученные в целях исполнения договора с клиентом ПДн оператор передает третьим лицам. Необходимо разграничивать в договорах передачу ПДн, которая осуществляется непосредственно в целях исполнения договора, и передачу данных в интересах только одной стороны договора (например, компания делится с партнерами базой данных клиентов). Во втором случае необходимо согласие субъектов на передачу их данных третьим лицам, поскольку такая передача не является предметом договорных отношений между субъектами ПДн и компанией, которой они предоставили свои данные. По мнению некоторых территориальных управлений Роскомнадзора, согласие на передачу данных третьим лицам необходимо и в случаях, когда ПДн содержатся в доверенностях, выданных компанией своим сотрудникам для представления ее интересов в договорных отношениях с третьими лицами, если эти доверенности передаются третьим лицам.

Форма согласия на обработку персональных данных

Согласно части 4 статьи 9 закона № 152-ФЗ, в случаях, предусмотренных данным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. При этом закон № 152-ФЗ устанавливает пять случаев для получения согласия именно в письменной форме. Во-первых, при обработке специальных категорий ПДн, то есть данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ч. 2 ст. 10 закона № 152-ФЗ). Во-вторых, при включении ПДн в общедоступные источники (ч. 1 ст. 8 закона № 152-ФЗ). В-третьих, для обработки биометрических ПДн (ч. 1 ст. 11 закона № 152-ФЗ). В-четвертых, при трансграничной передаче данных на территории стран, не обеспечивающих адекватной защиты прав субъектов ПДн (ч. 3 ст. 12 закона № 152-ФЗ). Наконец, письменное согласие требуется, если оператор принимает решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки его данных (ч. 2 ст. 16 закона 152-ФЗ). Письменное согласие может быть заменено лишь согласием в форме электронного документа, если он подписан ЭЦП (ч. 4 ст. 9 закона № 152-ФЗ).*

Форма согласия в других случаях. Закон № 152-ФЗ не уточняет форму получения согласия субъекта ПДн в иных случаях, для которых прямо не установлена письменная форма. Но при этом обязанность предоставить доказательство получения согласия субъекта ПДн возлагается на оператора (ч. 3 ст. 9 закона № 152-ФЗ). Поэтому операторы стараются по возможности брать согласия в письменной форме в любом случае. Однако, учитывая, что закон не ограничивает возможность получения согласия в иных, кроме письменной, формах, допустим, например, вариант проставления „галочки“ или иного знака в специальном поле электронной заявки о согласии на обработку ПДн.

Вопрос в тему

Согласие субъекта персональных данных на обработку его данных является окончательным и неизменным?

Нет, субъект персональных данных в любой момент имеет право отозвать свое согласие (ч. 1 ст. 9 закона № 152-ФЗ).

Основные случаи, когда согласие не обработку данных не требуется (ч. 2 ст. 6 закона № 152-ФЗ)

В законе № 152-ФЗ названо восемь случаев, когда согласие на обработку данных не требуется. В практике коммерческих компаний наиболее распространены следующие случаи:

1. Обработка ПДн осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПДн и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора.

2. Обработка ПДн осуществляется в целях исполнения договора, одной из сторон которого является субъект ПДн.

3. Обработка ПДн осуществляется для статистических или иных научных целей, и данные обезличиваются.

4. Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение его согласия невозможно.

5. Обработка ПДн необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.»

Профессиональная справочная система для юристов, в которой вы найдете ответ на любой, даже самый сложный вопрос.
Попробуйте бесплатно

www.law.ru

Хранение и обработка персональных данных. Инструкция

Персональные данные — это практически любая информация о физическом лице. Поэтому если Ваша организация работает с людьми, о которых Вы так или иначе информацию собираете, то эта инструкция будет Вам полезна.  Она затронет следующие аспекты: получение согласия на обработку, уведомление субъекта персональных данных об обработке данных, уведомление Роскомнадзора, трансграничная передача данных, необходимость хранить персональные данные в России и организационные требования к оператору.  Так что наберитесь терпения.

Законодательство о персональных данных в России аморфное — неясного в нем больше, чем доподлинно известного. Помимо «аморфности» законодательство еще вводит сложные и трудоемкие алгоритмы работы с персональными данными, что автоматически делает работу по его соблюдению более сложной, а данную инструкцию —  более объемной.

 

Получение согласия

По общему правилу, если Вы обрабатываете (например, храните обращения граждан), то всегда лучше иметь согласие лица на обработку его персональных данных. Примерную форму такого согласия можно найти по ссылке.

Естественно, в работе правозащитных организаций иногда получить согласие человека невозможно. Например, при похищении человека или при применении пыток к заключенному. В законодательстве есть ряд исключений, которые позволяют обрабатывать персональные данные без согласия. Поэтому при работе с такими обращениями важно понимать, в какую категорию исключений они могут попасть (на случай, если к Вам после публикаций придет Роскомнадзор с проверкой). Но их немного:

Если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, и если получение согласия субъекта персональных данных невозможно. Как только угроза жизни или здоровью прекращается, обработка должна быть прекращена. При этом понять, когда, по мнению Роскомнадзора, угрозу можно считать прекращенной, например, при жалобах на пытки в СИЗО, не совсем ясно. Очевидно одно, что в течение короткого времени, данное исключение будет позволять работать с персональными данными, но если есть перспектива долгосрочной работы над обращением, лучше взять согласие.    

Если есть договор между организацией и лицом (например, родственником пропавшего), в котором бенефициаром (человеком, в пользу которого договор исполняется) является лицо, чьи персональные данные подлежат обработке. Это может быть договор оказания услуг (например, юридических, и например, на безвозмездной основе). Поэтому если получение согласие от субъекта персональных данных никак невозможно, то рекомендуем заключить подобный договор с родственником. В таком случае, Вам будет, что предъявить Роскомнадзору при внеплановой проверке.

Однако если Вы обрабатываете данные, которые относятся к категории «специальные персональные данные» (это данные относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), то нужно обязательно брать согласие человека.

Уведомление Роскомнадзора

Помимо получения согласия на обработку персональных данных есть еще одна бюрократическая сложность. В некоторых случаях необходимо уведомлять Роскомнадзор о том, что Ваша организация обрабатывает персональные данные. Как только такое уведомление Роскомнадзор получает, Вашу организацию могут включить в список плановых проверок.  Само уведомление заполнить несложно. Его форму можно найти здесь. (ссылка на  ).

В каких случаях можно не уведомлять Роскомнадзор:

  1. При обработке персональных данных работников организации
  2. Если персональные данные включают только  фамилии, имена и отчества субъектов персональных данных.
  3. Если персональные данные обрабатываются для исполнения договора, который был заключен между организацией и субъектом персональных данных. Если Ваша организация не заключает договоры, но у Вас есть письменное обращение доверителя в Вашу организацию, то такое обращение также можно рассматривать в качестве основания для неуведомления Роскомнадзора.  Обращаем внимание, что в случае заключения договора, в котором субъект персональных данных является бенефициаром (как, например, при похищениях и насильственных исчезновениях), а не стороной, то такой договор не освобождает от необходимости уведомления Роскомнадзора.  
  4. Если данные обрабатываются без использования средств автоматизации. Многие общественные организации пользуются примерно следующим спектром офисных программ — Word, Excel, Power point + СПС типа Консультант. Мы полагаем, что обработка персональных данных с использованием данных программ не является обработкой с использованием автоматизации (почему мы так считаем, можете прочитать здесь). Таким образом, уведомлять Роскомнадзор об обработке не требуется. Однако судебная практика еще окончательно не ответила на этот вопрос. Поэтому если желаете перестраховаться, то лучше подать уведомление в Роскомнадзор.     

Трансграничная передача персональных данных

Закон устанавливает, что трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.  Чаще всего правозащитные организации осуществляют трансграничную передачу в случае отправления жалоб в Европейский суд по правам человека или в органы ООН.

Требования законодательства таковы, что если трансграничная передача осуществляется не в безопасную страну (список безопасных стран можно посмотреть здесь), то необходимо или иметь договор с субъектом персональных данных, который бы предусматривал возможность такой передачи, или необходимо получить отдельное согласие на такую трансграничную передачу.

 

Хранение персональных данных на территории России

Может быть, помните, что начиная с лета 2014 года было много шума из-за принятия закона о персональных данных (№242-ФЗ)? Этот закон обязывает операторов персональных данных обеспечить запись, хранение (и прочие операции) персональных данных граждан РФ с использованием баз данных на территории РФ с 1 сентября 2015 года.  Это означает, что персональные данные наших соотечественников должны храниться на российской территории. Однако это не означает,  что за рубежом они не могут храниться вовсе. Согласно позиции Министерства связи, хранение данных за пределами РФ является возможным, если первоначальная обработка осуществлялась на территории РФ. Другими словами, можно иметь две базы данных – одна в России, а другая – за рубежом. При этом Роскомнадзор, скорее всего, не сможет проверить, насколько эти базы  идентичны.

Организационные требования к НКО

Огромное внимание Роскомнадзор уделяет правильно составленным обязательным документам. Поэтому рекомендуем Вам в самое ближайшее время разработать и утвердить следующие документы:

  1. Правила обработки персональных данных (скачать образец)
  2. Порядок доступа работников в помещения, в которых проводится обработка персональных данных
  3. Документ о назначении лица, ответственного за организацию обработки персональных данных.

С правилами обработки персональных данных необходимо ознакомить всех работников НКО под роспись. Документы, содержащие персональные данные, должны храниться в запирающихся шкафах.

Закон также требует, чтобы персональные данные уничтожались тогда, когда их хранение уже не является необходимым. Например, жалоба была выиграна в Европейском суде, решение ЕСПЧ было исполнено, значит, данные нужно уничтожить. А об уничтожении составить акт.  

Более того, мы Вам ранее рассказали, что закон требует, чтобы хранение  и обработка велась в России, поэтому необходимо иметь документы, подтверждающие размещение баз данных на технических площадках (ЦОД, сервера) в России. Это могут быть либо собственные серверные мощности, либо арендованные.

hrdco.org

Хранение и использование персональных данных работников

Энциклопедия МИП » Трудовые споры » Защита прав работников » Хранение и использование персональных данных работников

Чтобы обезопасить граждан от неправомерного использования личных данных трудовым законодательством разрабатываются специальные нормативные акты.

Трудовые отношения предусматривают составление специальной документации и заключение трудовых договоров, распоряжений и приказов. Обязательным условием для подписания данных бумаг является внесение достоверных личных данных сторон (инициалов, фактического адреса, сведений о рабочей квалификации, должностных обязанностях и др.).

Чтобы обезопасить граждан от неправомерного использования личных данных трудовым законодательством разрабатываются специальные нормативные акты, в которых регламентируется обработка, передача и защита информации о сотрудниках работодателем. Поэтому все работодатели обязаны соблюдать порядок хранения и использования персональных данных работников.

Хранение персональных данных работников

Специальное нормативное положение, в котором определяются правила по распоряжению личной информацией сотрудников работодателем, предусматривает соблюдение определенных требований:

  • конкретная форма, в которой хранятся личные данные сотрудников, должна соответствовать всем требованиям и полностью идентифицировать субъекта личной информации;
  • срок сохранения информации не должен превышать времени, которого будет достаточно для воплощения целей, в соответствии с которой требуется обработка;
  • данные необходимо уничтожать непосредственно после достижения всех целей, для которых была организована обработка информации;
  • информация должна быть удалена в случае отсутствия необходимости дальнейшей обработки и использования данных.

Обработка, передача и защита личных сведений сотрудников поручается ответственному оператору, который должен соблюдать все правила и специальное законодательное положение. Если же по каким-либо причинам должностное лицо не может самостоятельно выполнять свои прямые обязанности, то он должен поручить обработку и защиту информационных данных иному сотруднику на основании официально заключенного договора.

Важнейшим условием данного документа является указание специальной обязанности, в соответствии с которой обеспечивается обработка, передача и защита личной информации при соблюдении конфиденциальности и полной безопасности. 

Кто имеет право обрабатывать и использовать персональные данные

Должностные лица, которые сталкиваются с обработкой и сохранением личной информации сотрудников, должны исполнять специальное положение. Подобные документы и правила составляются работодателем, а также чаще всего издаются в форме должностных инструкций, коллективных и индивидуальных трудовых договоров и др.

Положение или распоряжение включает правила защиты данных сотрудников, устанавливает перечень лиц, которым подлежит обработка и эксплуатация информации, срок обработки, основания и условия предоставления информации и др.    

Хранение и использование личной информации сотрудников входит в компетенцию должностных лиц, которые назначаются непосредственно работодателем. В обязанности данных граждан входит соблюдение всех норм по обработке и распоряжению личными данными подчиненных. Законодательными актами регламентируется срок, правила, а также перечень лиц на руководящих должностях, которые должны работать с личной информацией сотрудников:

  • главный специалист, который занимается защитой данных;
  • заместитель директора, в обязанности которого входит администрирование персоналом;
  • менеджер по управлению персоналом;
  • начальных отдела кадров.

На предприятиях и в компаниях обработка и сохранение личной информации также поручается рядовым работникам, например, бухгалтерам, инженерам по защите информации, управлению и подготовке кадров, документоводам, специалистам по защите данных и др.

Рядовые исполнительные должностные лица также сталкиваются с использованием и защитой информации в процессе выполнения своих обязанностей, например, секретари, референты, инспекторы и др., которые принимают заявления и различные документы.  

Порядок хранения персональных данных работников

Должностное лицо обязано соблюдать специальное положение, в котором регламентируется обработка, сохранение и защита личной информации, личных дел сотрудников. Правила и порядок эксплуатации должны соблюдаться стороной работодателей.  Данные лица должны обеспечить выполнение следующих функций:

  • составление и хранение первичной документации, которая издается в унифицированной форме;
  • сохранность бумаг, в которых ведется учет рабочих кадров;
  • хранение документации, в которой учитывается специфика распределения рабочего времени;
  • сохранность пакета документов, в котором ведется расчет об оплате труда рабочему персоналу.

Порядок и срок сохранения личной информации гражданских служащих определяет трудовое законодательство, а также специальное ведомственное положение.

Срок хранения

Специальное положение о сохранении и защите личной информации регламентирует срок, в пределах которого допускается использование и хранение личных данных. Соответственно, трудовые книжки и дубликаты, которые не были забраны или в случае смерти работников, размещаются в активах предприятиях на срок до востребования. Если же такие документы относятся к классу невостребованных бумаг, то они размещаются в архивах компаний на срок не менее пятидесяти лет.

Положение, в котором определяется специфика индивидуального учета в системе пенсионного страхования, устанавливает срок сохранения личных данных граждан работниками государственного пенсионного фонда.  Срок хранения таких бумаг составляет не менее шести лет. Данные документы должны соответствовать следующим требованиям:

  • содержать в себе какие-либо данные об индивидуальном счете лица, которое застраховано программой социального страхования;
  • быть оформлены в установленной письменной форме и заверены соответствующими подписями граждан;
  • быть представлены в электронной форме, так как юридическая сила таких документов должна подтверждаться электронной цифровой подписью, при условии соблюдения законной процедуры подписания;
  • содержать в себе данные о всех страховых взносах лиц и страховом стаже граждан;
  • предоставляться работодателями в государственные заведения по пенсионному страхованию с целью индивидуального учета граждан в общей системе обязательного страхования для предоставления социальных пенсий.  

Иные документы, которые содержат в себе данные о пенсионном страховании, хранятся в архивах пенсионных учреждений не мене трех лет. Соответствующие документы подлежат уничтожению, когда срок их хранения истекает.

В таком случае уничтожение бумаг возможно исключительно после факта ознакомления застрахованным лицом со всеми данными о лицевом счете и страховом стаже.

Акты, в которых указываются случаи расследований профессиональных заболеваний должны храниться не менее 75 лет в активах государственного учреждения, которое специализируется на санитарно-эпидемиологическом надзоре и вело дело о расследовании конкретного происшествия. Работодатели должны хранить следующие документы на протяжении 45 лет с копиями и материалами расследования:

  • акты о несчастных случаях на производстве;
  • акты о несчастных случаях, которые касаются группы лиц;
  • документы о расследовании тяжелого несчастного случая;
  • бумаги о несчастных случаях сл смертельным исходом и др.

Нормативные акты о защите данных

При разработке локальных нормативных актов, которые касаются защиты личной информации сотрудников, учитывается законодательное положение, а также специфика работы предприятия. В соответствующих нормативных актах регламентируются следующие положения:

  • перечень личной информации сотрудников, которые нужны работодателю для выполнения всех трудовых обязанностей;
  • список лиц, которые имеют право получать личные данные;
  • правила хранения, обработки, передачи, защиты и предоставления личной информации;
  • должностное лицо, которое имеет право хранить персональные данные сотрудников, а также осуществлять контроль за процессом сохранения информации.

Помимо обязанностей работодателя, нормативные акты включают перечень прав и обязанностей сотрудников, которые касаются необходимости предоставления достоверной информации, а также обеспечения надежного хранения данных и соблюдения конфиденциальности. 

advokat-malov.ru