Содержание

Политика обработки персональных данных

1. Общие положения
1.1. Положение об обработке и защите персональных данных (далее – Положение) определяет требования к порядку обработки и защите (обеспечению безопасности) персональных данных субъектов, персональные данные которых обрабатываются ООО «Союз Телекоммуникаций» (далее – Общество) с использованием средств автоматизации или без использования таких средств.
1.2. Целью данного Положения является защита персональных данных от несанкционированного доступа, неправомерного их использования или утраты.
1.3. Настоящее Положение разработано на основании статей Конституции РФ, Трудового кодекса РФ, Кодекса об административных правонарушениях РФ, Гражданского кодекса РФ, Уголовного кодекса РФ, а также Федерального закона «Об информации, информационных технологиях и о защите информации» и Федерального закона «О персональных данных».
1.3. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
1.4. Настоящее Положение утверждается и вводится в действие приказом Генерального директора и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным.

2. Обработка персональных данных
2.1. Под обработкой персональных данных понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных.
2.2. В целях обеспечения прав и свобод человека и гражданина Общество и его представители при обработке персональных данных обязаны соблюдать следующие общие требования:
2.2.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2.2.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.2.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.2.5. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество должно принимать необходимые меры, либо обеспечивать их принятие, по удалению или уточнению неполных или неточных данных.
2.2.6. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.3. Общество не имеет права получать и обрабатывать персональные данные о политических, религиозных и иных убеждениях и частной жизни субъекта персональных данных. В случаях, непосредственно связанных с вопросами трудовых отношений с субъектом персональных данных, данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны Обществом только с письменного согласия работника.
2.4. Общество не имеет право получать и обрабатывать персональные данные о членстве в общественных объединениях или профсоюзной деятельности субъекта персональных данных, за исключением случаев, предусмотренных федеральным законом.
2.5. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
2.6. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
2.7. Обработка персональных данных в целях продвижения товаров, работ услуг на рынке путем осуществления прямых контактов с потенциальными потребителями с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.

3. Доступ к персональным данным
3.1. Внутренний доступ (доступ внутри Общества).
3.1.1. Лица, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании утвержденного Генеральным директором списка.
3.2. Внешний доступ.
3.2.1. К числу массовых потребителей персональных данных вне Общества можно отнести государственные и негосударственные функциональные структуры:
– налоговые инспекции;
– правоохранительные органы;
– органы статистики;
– страховые агентства;
– военкоматы;
– органы социального страхования;
– пенсионные фонды;
– подразделения муниципальных и федеральных органов управления;
3. 2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
3.2.3. Организации, в которые работник Общества, как субъект персональных данных может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к таким персональным данным работника только в случае его письменного разрешения.
3.2.4. Другие организации.
Сведения о работающем работнике Общества или уже уволенном могут быть предоставлены другой организации только по письменному запросу на бланке организации, с приложением копии нотариально заверенного заявления работника.
Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
4. Передача персональных данных.

4.1. При передаче персональных данных Общество должно соблюдать следующие требования:
не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом;
не сообщать персональные данные в коммерческих целях без письменного согласия субъекта персональных данных;
предупредить лиц, получающих персональные данные о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами;
разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
копировать и делать выписки персональных данных разрешается исключительно в служебных целях по письменному запросу;
не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением информации о состоянии здоровья работника, которые относятся к вопросу о возможности выполнения данным работником трудовой функции;
передавать персональные данные работника Общества представителям работников в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
4.2. Обществом может осуществляться трансграничная передача персональных данных.
До начала осуществления трансграничной передачи персональных данных Общество обязано убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

5. Субъекты персональных данных
5.1. Обществом (оператором по обработке персональных данных) осуществляется обработка персональных данных следующих субъектов персональных данных:
1) абоненты – физические лица, которых связывают с Обществом договорные отношения об оказании услуг связи, а также конечные пользователи абонентов – юридических лиц;
2) работники – физические лица, вступившие в трудовые отношения с Обществом.

6. Персональные данные абонентов Общества
6.1. Цели обработки персональных данных.
Обработка персональных данных абонентов Общества осуществляется с целью исполнения обязательства по договорам об оказании услуг связи.
6.2. Перечень обрабатываемых персональных данных.
Состав персональных данных абонентов Общества определяется содержанием заявления о заключении договора об оказании услуг связи, договором об оказании услуг связи, иными документами, необходимыми для заключения и обеспечения исполнения договоров об оказании услуг связи, а также законодательством о связи и п. 14 Постановления Правительства РФ «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность» № 538 от 27.08.2005г. и включает в себя:
– фамилия, имя, отчество;
– место жительства;
– год и место рождения;
– реквизиты основного документа, удостоверяющего личность;
– сведения о правах владения или пользования телефонизируемым помещением;
– номера телефонов;
– сведения о расчетах за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
6.3. Сроки хранения персональных данных.
Срок хранения персональных данных абонентов Общества соответствует общему сроку исковой давности, предусмотренному ст. 196 Гражданского кодекса РФ и составляет три года с даты расторжения договора об оказании услуг связи.

7. Персональные данные работников Общества
7.1. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
7.2. Цели обработки персональных данных.
Обработка персональных данных работников осуществляется с целью обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечение сохранности имущества.
7.3. Перечень обрабатываемых персональных данных:
– анкетные и биографические;
– паспортные;
– адрес места жительства, регистрации;
– домашний телефон;
– об образовании, специальности;
– о занимаемой должности;
– о наличии судимости;
– о содержании трудового договора;
– о составе декларируемых сведений о наличии материальных ценностей;
– о содержании декларации, подаваемой в налоговую инспекцию;
– сведения о трудовом и общем стаже;
– сведения о составе семьи, месте работы или учебы членов семьи и родственников, характере взаимоотношений в семье;
– сведения о воинском учете;
– сведения о заработной плате;
– сведения о социальных льготах;
– подлинники и копии приказов по личному составу;
– трудовые книжки работников;
– основания к приказам по личному составу;
– дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
– копии отчетов, направляемые в органы статистики.
7.4. Документы, содержащие персональные данные работников Общества являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения – соответствующий гриф ограничения на них не ставится.
7.5. При принятии решений, затрагивающих интересы работника, Общество не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Общество учитывает личные качества работника, его добросовестный и эффективный труд.
7.6. Сроки хранения документов, содержащих персональные данные работников Общества определяются нормативными сроками хранения управленческих и иных документов, утвержденными Руководителем Федеральной архивной службы России 06.10.2000г.
7.7. Права и обязанности работников в области защиты его персональных данных.
7.7.1. Работник обязуется предоставлять персональные данные, соответствующие действительности.
7.7.2. Своевременно, в разумный срок, не превышающий 5 рабочих дней, работник обязан лично либо через своего законного представителя сообщать Обществу (работнику, ответственному за сбор персональных данных), об изменении своих персональных данных либо представить соответствующие документы.
7.7.3. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
7.7.4. Работник в целях обеспечения защиты своих персональных данных, хранящихся у Общества, имеет право на:
полную информацию о своих персональных данных и обработке этих данных;
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных законодательством РФ;
определение своих представителей для защиты своих персональных данных;
требования об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса.
При отказе Общества исключить или исправить персональные данные работника он имеет право заявить в письменной форме Обществу о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
требование об извещении Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях и дополнения;
обжалование в суде любых неправомерных действий или бездействия Общества при обработке и защите его персональных данных.
7.7.5. Документы претендентов, которые не были приняты на работу, сшиваются по месяцам и по профилям специалистов и хранятся в запирающихся шкафах в течение 6 месяцев. По истечении данного срока документы подлежат уничтожению.

8. Мероприятия по обеспечению безопасности персональных данных
8.1. Общие положения.
8.1.1. Организация работ по обеспечению безопасности персональных данных осуществляется руководством Общества.
Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах Общества, приказом Генерального директора назначаются структурные подразделения, ответственные за обеспечение безопасности персональных данных.
Подразделения, ответственные за обеспечение безопасности персональных данных, в своей деятельности руководствуется нормами действующего законодательства в области защиты персональных данных.
Разработка и осуществление мероприятий по обеспечению безопасности персональных данных может осуществляться также сторонними организациями на договорной основе, имеющими лицензии на право проведения соответствующих работ.
Лица, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании утвержденного Генеральным директором списка.
8.2. Мероприятия по обеспечению безопасности персональных данных при автоматизированной обработке.
8.2.1. Система защиты персональных данных.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические), средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.
При обработке персональных данных в информационных системах Общества обеспечивается:
– проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации,
– своевременное обнаружение фактов несанкционированного доступа к персональным данным,
– недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование,
– возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним,
– постоянный контроль над обеспечением уровня защищенности персональных данных.
8.2.2. Перечень мероприятий по обеспечению безопасности персональных данных.
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
– определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
– разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
– проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
– установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
– обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
– учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
– учет лиц, допущенных к работе с персональными данными в информационной системе;
– контроль над соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
– разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
8.3. Мероприятия по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации.
Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе работники Общества или лица, осуществляющие такую обработку по договору с Обществом), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
Персональные данные на бумажных носителях хранятся в сейфе.
При работе с документами, содержащими персональные данные, документы могут находящиеся находиться на рабочих столах или в специальных папках только в течение рабочего дня. По окончании рабочего дня данные документы должны убираться в запирающиеся шкафы.

9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
9.1. Защита прав субъектов персональных данных, установленных настоящим Положением и законодательством Российской Федерации, осуществляется судом, в целях пресечения неправомерного использования персональных данных, восстановления нарушенных прав и возмещения причиненного ущерба, в том числе морального вреда.
9.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Flowolver – Положение о персональных данных

О работе с персональными данными

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение о работе с персональными данными покупателей ресурса flowolver.ru (далее – Положение) является локальным нормативным актом. Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом № 152-ФЗ от 27 июля 2006 г., Положением, утв. Постановлением Правительства РФ № 687 от 15 сентября 2008 г., Требованиями, утв. Постановлением Правительства РФ № 1119 от 1 ноября 2012 г., и другими нормативными правовыми актами.

1.2. Цель настоящего Положения – обеспечение законных прав и интересов работников ресурса flowolver.ru и покупателей ресурса flowolver.ru (далее — Покупателей) в связи с необходимостью получения, систематизации, хранения, использования и передачи сведений, являющихся персональными данными.

2. ОСНОВНЫЕ ПОНЯТИЯ. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОКУПАТЕЛЕЙ

2.1. Основные понятия:

2.1.1. Персональные данные Покупателей – любая информация, относящаяся к конкретному субъекту персональных данных.

2.1.2. Обработка персональных данных Покупателя – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными Покупателя, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.1.3. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.1.4. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.1.5. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.1.6. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных Покупателя.

2.1.7. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Покупателю.

2.1.8. Персональные данные, сделанные общедоступными субъектом персональных данных – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

2.1.9. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.2. Состав персональных данных:

– фамилия, имя, отчество (при наличии) Покупателя;

– дата и место рождения Покупателя;

– адрес проживания (регистрации) Покупателя;

– электронный адрес Покупателя;

– образование и профессия Покупателя;

– другая аналогичная информация, на основании которой возможна безошибочная идентификация Покупателя – субъекта персональных данных.

2.3. Примерный перечень документов и страниц, содержащих персональные данные Покупателя:

– страница оформления заказа https://flowolver.ru/checkout

– страница оформленного заказа Покупателя https://flowolver.ru/order

– страница регистрации пользователя (Покупателя) https://www.spice108.ru/index/3

– страница личного профиля Покупателя https://flowolver.ru/myaccount

– бумажный бланк (накладная) с заказом Покупателя

3. ПОРЯДОК ПОЛУЧЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Лицами, ответственными за получение персональных данных, являются работники ресурса flowolver.ru

3.2. Все персональные данные Покупатель вносит самостоятельно непосредственно на указанных в п. 2.3 веб-страницах ресурса flowolver.ru, за исключением случаев, предусмотренных п. 3.4 настоящего Положения.

3.3. Форма ввода Персональных данных, расположенных на веб-страницах ресурса  flowolver.ru осуществляет автоматическую проверку достоверности Персональных данных.

3.4. Если Покупатель оформляет заказ по телефону, то Персональные данные Покупатель сообщает посредством телефонной связи работнику ресурса flowolver.ru

4. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Лицами, ответственными за обработку персональных данных, являются работники ресурса flowolver.ru

4.2. Обработка персональных данных Покупателя может осуществляться исключительно для выполнения поручения Покупателя по организации оплаты и доставки заказа, оформленного Покупателем на ресурсе flowolver.ru

Обработка персональных данных Покупателя возможна только с Его согласия, либо без Его согласия в следующих случаях:

– персональные данные являются общедоступными;

– по требованию полномочных государственных органов – в случаях, предусмотренных федеральным законом.

Работники ресурса flowolver.ru вправе обрабатывать персональные данные Покупателя только с его письменного согласия. Равнозначным содержащему собственноручную подпись Покупателя письменному согласию на бумажном носителе признается согласие в форме данного электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

4.3 Указанные в п. 2.3 страницы ресурса flowolver.ru должны быть оснащены специальными ссылками на данное Положение, а так же полями (окошками) для проставления цифровой подписи (согласия) Покупателя с условиями данного Положения.

Согласие Покупателя не требуется в следующих случаях:

– обработка персональных данных осуществляется в статистических или иных или иных исследовательских целях при условии обязательного обезличивания персональных данных;

– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Покупателя, если получение его согласия невозможно.

4.4. При обработке персональных данных работники ресурса www.spice108.ru руководствуются следующими принципами:

1) обработка должна осуществляться на законной и справедливой основе;

2) обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных;

3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

4) обработке подлежат только те персональные данные, которые отвечают целям обработки;

5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка избыточных данных по отношению к заявленным целям обработки;

6) при обработке должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях – актуальность по отношению к целям обработки.

Работники ресурса flowolver.ru должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

7) форма хранения персональных данных должна позволять определять субъект этих данных. Хранение не должно длиться дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.5. При обработке персональных данных Покупателя работники ресурса flowolver.ru применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона № 152-ФЗ от 27 июля 2006 г., Требованиями, утв. Постановлением Правительства РФ № 1119 от 1 ноября 2012 г. и другими нормативными и методическими документами, регламентирующими порядок обработки персональных данных.

При обработке персональных данных работники ресурса flowolver.ru обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

4.6. При обработке персональных данных работники ресурса flowolver.ru и иные лица, получившие доступ к персональным данным, должны обеспечивать их конфиденциальность. Указанные работники и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия Покупателя (субъекта персональных данных), если иное не предусмотрено федеральным законом.

4.7. В случае выявления неправомерных действий с персональными данными Покупателя:

– Покупатель или его представитель (в т. ч. уполномоченный орган по защите прав) обращается к владельцам ресурса flowolver.ru с заявлением;

– Владелец ресурса flowolver.ru издает распоряжение о блокировании персональных данных, относящихся к соответствующему Покупателю, с момента такого обращения или получения такого запроса на период проверки и назначает ответственного за проведение служебного расследования;

– если в ходе служебного расследования подтвердился факт использования недостоверных персональных данных, то работник ресурса flowolver.ru, ответственный за получение персональных данных, обязан уточнить персональные данные, внести соответствующие изменения и поправки в документы и снять их блокирование;

– если в ходе служебного расследования выявлен факт неправомерных действий с персональными данными, то работник ресурса flowolver.ru, ответственный за обработку данных и допустивший подобные действия, в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. Об устранении допущенных нарушений работник ресурса flowolver.ru, ответственный за получение персональных данных, обязан уведомить Покупателя.

4.8. Персональные данные Покупателя могут быть получены и проходить дальнейшую обработку для исполнения доставки заказа как на бумажных носителях, так и в электронном виде (посредством использования информационных систем).

5. ПОРЯДОК ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ДОПУСК К НИМ

5.1. При передаче персональных данных Покупателя работникам ресурса www.spice108.ru нужно соблюдать следующие требования:

– не сообщать персональные данные Покупателя третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Покупателя, а также в других случаях, предусмотренных федеральными законами;

– не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

– предупреждать лиц, получающих персональные данные Покупателя, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Покупателя, должны быть осведомлены о том, что они обязаны соблюдать режим секретности (конфиденциальности) в отношении переданных им персональных данных;

– передавать персональные данные Покупателя представителям в порядке, установленном федеральными законами, и ограничивать эту информацию только теми персональными данными Покупателя, которые необходимы для выполнения указанными представителями их функций.

5.2. Внутренний доступ к персональным данным имеют:

– владельцы ресурса flowolver.ru;

– работники ресурса flowolver.ru : операторы и админимтраторы, обрабатывающие заказы Покупателей;

– работники технической поддержки ресурса flowolver.ru – к тем данным, которые необходимы для выполнения конкретных функций;

– Покупатели – субъекты персональных данных имеют доступ только к собственным персональным данным.

5.3. Покупатель, который является носителем персональных данных, имеет право:

– на полную информацию о своих персональных данных и их обработке;

– свободный бесплатный доступ к своим персональным данным на страницах ресурса flowolver.ru, указанные в п. 2.3, содержащие персональные данные Покупателя;

– требование об исключении или исправлении неверных или неполных персональных данных, а также данных, подвергшихся обработке с нарушением законодательства, согласно п. 4.7 Положения.

5.4. Внешний доступ к персональным данным имеют:

– налоговые инспекции;

– правоохранительные органы;

6. ПОРЯДОК ХРАНЕНИЯ И ИСПОЛЬЗОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Защита персональных данных Покупателя от неправомерного их использования или утраты должна быть обеспечена техническими возможностями ресурса flowolver.ru

6.2. Персональные данные на бумажных носителях подлежат уничтожению через 5 лет после исполнения заказа Покупателя.

6.3. Бумажные документы, которые содержат персональные данные, хранятся в архиве в специальных коробах.

6.4. Персональные данные на электронных носителях должны быть защищены паролем доступа. Доступ к электронным базам данных, содержащим персональные данные, осуществляется только посредством использования индивидуальных паролей. Право на использование персональных данных имеют только работники ресурса flowolver.ru и сам Покупатель.

7. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ПОЛУЧЕНИЕ, ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Если Покупатель считает, что работники ресурса flowolver.ru осуществляют обработку его персональных данных с нарушением требований настоящего Положения или иным образом нарушают его права и свободы, он вправе обжаловать действия или бездействие в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.2. Покупатель имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Покупателя, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

8.1. Все работники ресурса  flowolver.ru должны быть ознакомлены с текстом настоящего Положения под подпись.

8.2 Данное положение размещено на ресурсе flowolver.ru по ссылке https://flowolver.ru/pages/polozhenie-o-personalnykh-dannykh и является общедоступным для Покупателей ресурса www.spice108.ru

Положение об обработке, хранении и защите персональных данных посетителей сайта ООО «ТК «ГУД-ФУД»

Положение об обработке, хранении и защите персональных данных посетителей сайта ООО «ТК «ГУД-ФУД»

1. Термины и определения

1.1. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе как то: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, адрес электронной почты, телефонный номер, и другая информация.

1.2. Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование.

1.3. Конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания.

1.4. Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

1.5. Использование персональных данных — действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.

1.6. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

1.7. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

1.8. Обезличивание персональных данных — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

1.9. Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

1.10. Информация — сведения (сообщения, данные) независимо от формы их представления.

1.11. Посетитель сайта (субъект персональных данных) – физическое лицо предоставившее свои персональные данные посредством письменного запроса через сайт ООО «ТК «ГУД-ФУД», адресованного ООО «ТК «ГУД-ФУД», далее «Организация».

1.12. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными Организацией.

2. Общие положения.

2.1. Настоящее Положение об обработке персональных данных (далее — Положение) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом “Об информации, информационных технологиях и о защите информации”, Федеральным законом 152-ФЗ “О персональных данных”, иными федеральными законами.

2.2. Цель разработки Положения — определение порядка обработки и защиты персональных данных всех Посетителей сайта, данные, которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

2.3. Порядок ввода в действие и изменения Положения.

2.3.1. Настоящее Положение вступает в силу с момента его утверждения Генеральным директором Организации и действует бессрочно, до замены его новым Положением.

2.3.2. Изменения в Положение вносятся на основании Приказов Генерального директора Организации.

3. Состав персональных данных.

3.1. В состав персональных данных Посетителя сайтов , в том числе входят:

3.1.1. Фамилия, имя, отчество.

3.1.2. Год рождения.

3.1.3. Месяц рождения.

3.1.4. Дата рождения.

3.1.5. Место рождения.

3.1.6. Паспортные данные

3.1.7. Адрес электронной почты.

3.1.8. Номер телефона (домашний, сотовый).

3.2. В Организации могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах:

3.2.1. Обращения Посетителей сайта в формах, предоставленных сайтом организации.

4. Цель обработки персональных данных.

4.1. Цель обработки персональных данных – осуществление комплекса действий направленных на достижение цели, в том числе:

4.1.1. Оказание консультационных и информационных услуг.

4.1.2. Маркетинг (предоставление рекламно-информационных материалов).

4.1.3. В целях исполнения требований законодательства РФ.

4.2. Условием прекращения обработки персональных данных является ликвидация Организации, а также соответствующее требование Посетителя сайта.

5. Сбор, обработка и защита персональных данных.

5.1. Порядок получения (сбора) персональных данных:

5.1.1. Все персональные данные Посетителя сайта следует получать у него лично с его письменного согласия или с согласия, полученного с помощью электронных систем (сервисов), кроме случаев, определенных в п. 5.1.4 и 5.1.6 настоящего Положения и иных случаях, предусмотренных законами РФ.

5.1.2. Согласие Посетителя сайта на использование его персональных данных хранится в Организации в бумажном и/или электронном виде.

5.1.3. Согласие субъекта на обработку персональных данных действует в течение в течение 5 лет с момента прекращения взаимодействия Посетителя сайта с Организацией.

5.1.4. Если персональные данные Посетителя сайта возможно получить только у третьей стороны, Посетитель сайта должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Третье лицо, предоставляющее персональные данные Посетителя сайта, должно обладать согласием субъекта на передачу персональных данных Организации. Организация обязана получить подтверждение от третьего лица, передающего персональные данные Посетителя сайта о том, что персональные данные передаются с его согласия. Организация обязана при взаимодействии с третьими лицами заключить с ними соглашение о конфиденциальности информации, касающейся персональных данных Посетителя сайта.

5.1.5. Организация обязана сообщить Посетителя сайта о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Посетителя сайта дать письменное согласие на их получение.

5.1.6. Обработка персональных данных Посетителя сайта без его согласия осуществляется в следующих случаях:

5.1.6.1. Персональные данные являются общедоступными.

5.1.6.2. По требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.

5.1.6.3. Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.

5.1.6.4. Обработка персональных данных осуществляется в целях заключения и исполнения договора, одной из сторон которого является субъект персональных данных – Посетитель сайта.

5.1.6.5. Обработка персональных данных осуществляется для статистических целей при условии обязательного обезличивания персональных данных.

5.1.6.6. В иных случаях, предусмотренных законом.

5.1.7. Организация не имеет права получать и обрабатывать персональные данные Посетителя сайта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

5.2. Порядок обработки персональных данных:

5.2.1. Субъект персональных данных предоставляет Организации достоверные сведения о себе.

5.2.2. К обработке персональных данных Посетителей сайта могут иметь доступ только сотрудники Организации, допущенные к работе с персональными данными Посетителей сайта и подписавшие Соглашение о неразглашении персональных данных Посетителей сайта.

5.2.3. Обработка персональных данных Посетителя сайта может осуществляться исключительно в целях установленных Положением и соблюдения законов и иных нормативных правовых актов РФ.

5.2.4. При определении объема и содержания, обрабатываемых персональных данных Организация руководствоваться Конституцией Российской Федерации, законом о персональных данных, и иными федеральными законами.

5.3. Защита персональных данных:

5.3.1. Под защитой персональных данных Посетителя сайта понимается комплекс мер (организационно-распорядительных, технических, правовых), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.

5.3.2. Защита персональных данных Посетителя сайта осуществляется за счёт Организации в порядке, установленном федеральным законом РФ.

5.3.3. Организация при защите персональных данных Посетителя сайта принимает все необходимые организационно-распорядительные, правовые и технические меры, в том числе:
•Антивирусная защита.
•Анализ защищённости.
•Обнаружение и предотвращение вторжений.
•Управления доступом.
•Регистрация и учет.
•Обеспечение целостности.
•Организация нормативно-методических локальных актов, регулирующих защиту персональных данных.

5.3.4. Доступ к персональным данным Посетителя сайта имеют сотрудники Организации, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.

5.3.6. Все сотрудники, связанные с получением, обработкой и защитой персональных данных Посетителя сайта, обязаны подписать Соглашение о неразглашении персональных данных Посетителя сайта.

5.3.7. Процедура оформления доступа к персональным данным Посетителя сайта включает в себя:
•Ознакомление сотрудника под роспись с настоящим Положением. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Посетителя сайта, с данными актами также производится ознакомление под роспись.
•Истребование с сотрудника письменного обязательства о соблюдении конфиденциальности персональных данных Посетителя сайта и соблюдении правил их обработки в соответствии с внутренними локальными актами Организации, регулирующих вопросы обеспечения безопасности конфиденциальной информации.

5.3.8. Защита персональных данных Посетителей сайтов, хранящихся в электронных базах данных Организации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Системным администратором.

5.4. Хранение персональных данных:

5.4.1. Персональные данные Посетителя сайта на бумажных носителях хранятся в сейфах.

5.4.2. Персональные данные Посетителя сайта в электронном виде хранятся в локальной компьютерной сети Организации, в электронных папках и файлах в персональных компьютерах сотрудников, допущенных к обработке персональных данных Посетителя сайта.

5.4.3. Документы, содержащие персональные данные Посетителя сайта, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Посетителя сайта, помещаются в шкафы (сейфы), обеспечивающие защиту от несанкционированного доступа.

5.4.4. Защита доступа к электронным базам данных, содержащим персональные данные Посетителя сайта, обеспечивается:
– использованием лицензированных антивирусных и антихакерских программ, не допускающих несанкционированный вход в локальную сеть Организации;
– разграничением прав доступа с использованием учетной записи;
– системой паролей.

5.4.5. Копировать и делать выписки персональных данных Посетителя сайта разрешается исключительно в служебных целях с письменного разрешения Генерального директора Организации.

5.4.6. Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Посетителя сайта, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Организации, и в том объеме, который позволяет не разглашать излишний объем персональных данных Посетителя сайта.

6. Блокировка, обезличивание, уничтожение персональных данных

6.1. Порядок блокировки и разблокировки персональных данных:

6.1.1. Блокировка персональных данных Посетителя сайта осуществляется с письменного заявления Посетителя сайта.

6.1.2. Блокировка персональных данных подразумевает:

6.1.2.1. Запрет редактирования персональных данных.

6.1.2.2. Запрет распространения персональных данных любыми средствами (e-mail, сотовая связь, материальные носители).

6.1.2.3. Запрет использования персональных данных в массовых рассылках (sms, e-mail, почта).

6.1.2.4. Изъятие бумажных документов, относящихся к Посетителю сайта и содержащих его персональные данные из внутреннего документооборота Организации и запрет их использования.

6.1.3. Блокировка персональных данных Посетителя сайта может быть временно снята, если это требуется для соблюдения законодательства РФ.

6.1.4. Разблокировка персональных данных Посетителя сайта осуществляется с его письменного согласия (при наличии необходимости получения согласия) или заявления Посетителя сайта.

6.1.5. Повторное согласие Посетителя сайта на обработку его персональных данных (при необходимости его получения) влечет разблокирование его персональных данных.

6.2. Порядок обезличивания и уничтожения персональных данных:

6.2.1. Обезличивание персональных данных Посетителя сайта происходит по письменному заявлению Посетителя сайта.

6.2.2. При обезличивании персональные данные в информационных системах заменяются набором символов, по которому невозможно определить принадлежность персональных данных к конкретному Посетителю сайта.

6.2.3. Бумажные носители документов при обезличивании персональных данных уничтожаются.

6.2.4. Организация обязана обеспечить конфиденциальность в отношении персональных данных при необходимости проведения испытаний информационных систем на территории разработчика и произвести обезличивание персональных данных в передаваемых разработчику информационных системах.

6.2.5. Уничтожение персональных данных Посетителя сайта подразумевает прекращение какого-либо доступа к персональным данным Посетителя сайта.

6.2.6. При уничтожении персональных данных Посетителя сайта работники Организации не могут получить доступ к персональным данным субъекта в информационных системах.

6.2.7. Бумажные носители документов при уничтожении персональных данных уничтожаются, персональные данные в информационных системах обезличиваются. Персональные данные восстановлению не подлежат.

6.2.8. Операция уничтожения персональных данных необратима.

6.2.9. Срок, после которого возможна операция уничтожения персональных данных Посетителя сайта, определяется окончанием срока, указанным в пункте 7.3 настоящего Положения.

7. Передача и хранение персональных данных

7.1. Передача персональных данных:

7.1.1. Под передачей персональных данных субъекта понимается распространение информации по каналам связи и на материальных носителях.

7.1.2. При передаче персональных данных работники Организации должны соблюдать следующие требования:

7.1.2.1. Не сообщать персональные данные Посетителя сайта в коммерческих целях.

7.1.2.2. Не сообщать персональные данные Посетителя сайта третьей стороне без письменного согласия Посетителя сайта, за исключением случаев, установленных федеральным законом РФ.

7.1.2.3. Предупредить лиц, получающих персональные данные Посетителя сайта о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

7.1.2.4. Разрешать доступ к персональным данным Посетителя сайта в только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Посетителя сайта, которые необходимы для выполнения конкретных функций.

7.1.2.5. Осуществлять передачу персональных данных Посетителя сайта в пределах Организации в соответствии с настоящим Положением, нормативно-технологической документацией и должностными инструкциями.

7.1.2.6. Предоставлять доступ Посетителя сайта к своим персональным данным при обращении либо при получении запроса Посетителя сайта. Организация обязана сообщить Посетителю сайта информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.

7.1.2.7. Передавать персональные данные Посетителя сайта представителям Посетителя сайта в порядке, установленном законодательством и нормативно-технологической документацией и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функции.

7.2. Хранение и использование персональных данных:

7.2.1. Под хранением персональных данных понимается существование записей в информационных системах и на материальных носителях.

7.2.2. Персональные данные Посетителя сайта обрабатываются и хранятся в информационных системах, а также на бумажных носителях в Организации. Персональные данные Посетителя сайта также хранятся в электронном виде: в локальной компьютерной сети Организации, в электронных папках и файлах работников, допущенных к обработке персональных данных Посетителя сайта.

7.2.3. Хранение персональных данных Посетителя сайта может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено федеральными законами РФ.

7.3. Сроки хранения персональных данных:

7.3.1. Сроки хранения персональных данных Посетителя сайта – 1 год с момента окончания взаимодействия Посетителя сайта с Организацией посредством сайта ООО «ТК «ГУД-ФУД».

7.3.2. В течение срока хранения персональные данные не могут быть обезличены или уничтожены.

7.3.3. По истечении срока хранения персональные данные могут быть обезличены в информационных системах и уничтожены на бумажном носителе, в порядке, установленном в Положении и действующем законодательстве РФ.

8. Права оператора персональных данных

Организация вправе:

8.1. Отстаивать свои интересы в суде и Федеральной антимонопольной службе РФ.

8.2. Предоставлять персональные данные Посетителя сайта третьим лицам, если это предусмотрено действующим законодательством РФ (налоговые, правоохранительные органы и др.).

8.3. Отказать в предоставлении персональных данных в случаях, предусмотренных законодательством РФ.

8.4. Использовать персональные данные Посетителя сайта без его согласия, в случаях предусмотренных законодательством РФ.

9. Права Посетителя сайта

Посетителя сайта имеет право:

9.1. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

9.2. Требовать перечень обрабатываемых персональных данных, имеющихся в Организации и источник их получения.

9.3. Получать информацию о сроках обработки персональных данных, в том числе о сроках их хранения.

9.4. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

9.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

10.1. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую ответственность в соответствии с действующем законодательством Российской Федерации и внутренними локальными актами Организации.

Как долго я должен хранить данные моих сотрудников?

Согласно новому Общему регламенту защиты данных (GDPR), ограничение хранения является одним из наиболее важных принципов, с которыми должны справиться все организации. В нем говорится, что личные данные должны храниться «не дольше, чем это необходимо» для целей, для которых они были созданы или получены. В отношении данных сотрудников следует проявлять особую осторожность при применении этого принципа ограничения хранения на практике.

С одной стороны, когда дело доходит до таких областей, как расчет заработной платы, копирование медицинской информации и дисциплинарных записей, эти данные имеют тенденцию быть конфиденциальными по своей природе и, следовательно, требуют особого внимания для обеспечения защиты прав и интересов людей.

В то же время редко бывает целесообразным иметь правило ограничения хранения «один размер для всех», охватывающее все содержимое файла сотрудника. Что хранить, как хранить и как долго зависит от множества факторов, начиная от конкретных требований HMRC и заканчивая защитой вашего бизнеса от любых судебных исков, предъявленных предыдущими сотрудниками.
В этом руководстве объясняется, как составить политику хранения записей ваших сотрудников, что поможет вам защитить свой бизнес, уважать права ваших сотрудников и соблюдать GDPR.

Записи о сотрудниках: зачем нужна политика хранения, соответствующая GDPR

Для всех типов персональных данных, которые вы обрабатываете, в вашей компании должен быть набор внутренних правил, определяющих, как долго данные должны храниться, в зависимости от категории, к которой они принадлежат. Взятые вместе, эти правила формируют вашу политику хранения личных данных.

Ограничение хранения – один из основополагающих принципов GDPR; одно из «золотых правил», которое необходимо учитывать при обработке личной информации физических лиц, в том числе ваших сотрудников. Вы можете узнать больше о реализации всех семи принципов GDPR здесь.

GDPR также включает дополнительные, более подробные требования, в которых принцип ограничения хранения становится применимым напрямую. К ним относятся следующие:

Конфиденциальность по умолчанию

Это становится особенно актуальным при внесении изменений в существующие процессы или внедрении технологий (например, нового онлайн-портала управления персоналом).Вам необходимо показать, что вы приняли меры для обеспечения обработки только данных, «необходимых для каждой конкретной цели обработки». Это включает сокращение сроков хранения до минимума.

Информация, которую вы должны предоставить сотрудникам

Персональные данные персонала, как правило, делятся на три категории: данные, предоставленные вам сотрудником (например, банковские и контактные данные), данные, предоставленные третьими сторонами (ссылки работодателей и информация от компании по предоставлению студенческих ссуд) и данные, созданные вами (обучение и вести записи).Во всех трех случаях GDPR требует, чтобы вы предоставляли сотрудникам информацию о том, что у вас есть, его цель и как долго вы это будете хранить.

Если ваши правила хранения кажутся произвольными и не имеющими реального оправдания, регулирующий орган может расценить вас как нарушившего свой долг по обращению с сотрудниками «справедливо и прозрачно».

Право на забвение

В нашем руководстве по удалению более подробно рассказывается об этом важном новом аспекте GDPR. В случае запросов от бывших сотрудников с просьбой удалить хранящиеся у вас записи, тщательная политика хранения позволит вам отреагировать соответствующим образом.В частности, это предотвращает непреднамеренное удаление данных, которые вы обязаны хранить (например, для целей налогообложения).

Сроки хранения различных категорий записей сотрудников

Периоды, которые мы предложили ниже, предназначены только для общей иллюстрации. Чтобы сформулировать свою собственную политику хранения, вы также должны иметь в виду следующее:

  • Правила HMRC. Установленные законом правила хранения записей могут время от времени меняться, поэтому следите за официальными обновлениями.
  • Профессиональное нормативное руководство. Ваш регулирующий орган может устанавливать свои собственные правила удержания (например, в отношении обучения или профессионального поведения).
  • Рекомендации страховщика. Страховщики ответственности и профессиональной ответственности вашего работодателя могут издать инструкции о том, как долго хранить записи, относящиеся к потенциальным претензиям (например, связанным с несчастными случаями на работе).
  • Данные PAYE и NI – включая уведомления налогового кодекса: три года с конца налогового года, к которому они относятся.
  • Установленное законом пособие по материнству / отцовству / родителю : через три года после окончания налогового года, в котором заканчивается период выплаты заработной платы.
  • Пенсионные записи : записи об автоматическом зачислении должны храниться в течение шести лет с даты зачисления. Уведомления об отказе от участия необходимо хранить в течение четырех лет.
  • Записи о несчастных случаях на производстве : не менее трех лет с даты происшествия.
  • Записи о воздействии опасных веществ : не менее 40 лет с момента воздействия.Это связано с тем, что ущерб, связанный с облучением, иногда становится очевидным через много лет. Обычно у сотрудников есть три года с момента обнаружения симптомов, в течение которых они могут обратиться в суд.
  • Персональные данные. Сюда входят записи об отсутствии, журналы обучения, отчеты об исполнении служебных обязанностей, документация, относящаяся к любому процессу дублирования, и записи о дисциплинарных процедурах. Многие организации смогут заявить о законном интересе в хранении этих записей на срок до шести лет с момента окончания периода приема на работу.Стандартный срок для подачи большинства исков в Промышленный трибунал составляет три месяца с момента окончания периода приема на работу. Однако стоит помнить, что теоретически существует возможность подачи гражданских исков за нарушение контракта на срок до шести лет.

Дополнительная помощь от Центра соблюдения конфиденциальности

Центр обеспечения соблюдения конфиденциальности предлагает полную основу для выполнения ваших обязательств по соблюдению GDPR. Когда дело доходит до хранения данных, это включает в себя возможность оценивать, классифицировать и обосновывать определенные правила для данных прямо в вашей организации.Чтобы узнать, как это работает, посмотрите нашу демонстрацию или позвоните в чат сегодня.

законов США о конфиденциальности данных сотрудников – Вы в курсе?

Проблемы конфиденциальности данных влияют на большинство операций HR, включая обработку данных, набор персонала, мониторинг производительности и обработку ссылок. Это особенно актуально в наш век цифровых и технологических достижений. Как менеджеру отдела кадров жизненно важно, чтобы вы внедрили в своей компании системы и процессы для защиты конфиденциальных данных сотрудников, обеспечивая их соответствие государственным, местным и международным законам о защите данных.

В этом посте мы рассмотрим правила GDPR в отношении данных и то, как Закон о защите данных влияет на работодателей в США. Мы также обсудим лучших практик по защите личных данных сотрудников и советы по обеспечению соблюдения конфиденциальности на всех уровнях вашей компании.

Давайте начнем с любопытного события, которое происходит каждый год в мире GDPR и данных о сотрудниках.

День конфиденциальности данных 2020

День конфиденциальности данных – это глобальное ежегодное мероприятие, целью которого является повышение осведомленности о важности конфиденциальности и защиты данных.Кампания пропагандирует передовые методы обеспечения конфиденциальности и защиты данных и нацелена как на частных лиц, так и на предприятия.

Мероприятие впервые было отмечено в Северной Америке 28 января 2008 г. в качестве продолжения существующего Дня защиты данных в Европе. Дата совпадает с подписанием в 1981 году договора Совета Европы о защите данных, известного как «Конвенция 108», который следует технологически нейтральному, основанному на принципах подходу к защите права человека на неприкосновенность частной жизни.

Каждый год в этот день правительства и национальные органы по защите данных запускают кампании, конференции и мероприятия открытых дверей, чтобы информировать общественность об их правах на защиту личных данных и неприкосновенность частной жизни. Помимо широкой общественности, кампании также часто нацелены на тех, кто работает в секторе образования и тех отраслях, которые в значительной степени полагаются на обработку данных. Мероприятие – это возможность для предприятий переоценить то, как они собирали, обменивались и использовали данные, а также улучшить внутренние процессы, чтобы предотвратить использование, неправильное использование или потерю ценных данных.В США и Канаде мероприятие проводится под руководством Национального альянса киберпреступников (NCSA), некоммерческой организации, занимающейся продвижением более безопасного и надежного Интернета. Кампания NCSA по повышению осведомленности о конфиденциальности является неотъемлемым компонентом глобальной кампании по обеспечению безопасности и конфиденциальности в Интернете «STOP. СЧИТАТЬ. ПОДКЛЮЧИТЬ. ™ ».

Соответствие GDPR США: определение конфиденциальности данных

Защита конфиденциальности данных – это раздел безопасности данных, связанный с надлежащей обработкой данных, включая согласие, уведомление и нормативные обязательства.Каждый человек имеет право на доступ и контроль всей личной информации, собираемой и хранимой компанией, и они могут отозвать свое согласие в любое время.

Несмотря на то, что в нет федеральных законов США о конфиденциальности данных и централизованного агентства по защите данных в США, компании, работающие с клиентами, заказчиками и сотрудниками в Европейском Союзе, должны знать принципы, регулирующие Общий регламент защиты данных (GDPR). ). Европейский GDPR, вступивший в силу в 2018 году, заменил предыдущий Закон Великобритании о конфиденциальности данных и ввел новый набор руководящих принципов для обработки, обработки и хранения личных данных.Он требует от компаний, работающих с Европейским Союзом или внутри него, внедрять политики и процедуры защиты данных, обеспечивающие прозрачность и подотчетность. Требования к ведению записей различаются в зависимости от того, является ли компания, обрабатывающая данные, контроллером (ответственным за определение цели и средств обработки персональных данных) или обработчиком (теми, кто обрабатывает данные от имени контроллера).

Что касается данных о сотрудниках, то в соответствии с GDPR о конфиденциальности данных сотрудники должны знать:

  • Кто контролирует их данные
  • Цель обработки своих персональных данных (для чего собирается информация)
  • Любые изменения в их контракте, справочнике компании или обработке данных
  • Любые третьи стороны, получающие их данные, например, платежные ведомости
  • Их права на защиту данных в соответствии с GDPR, включая право отозвать согласие в любое время.

GDPR и компании с менее чем 250 сотрудниками: хотя требования GDPR не применяются для большинства компаний с менее чем 250 сотрудниками (за исключением компаний, обрабатывающих данные, относящиеся к уголовным обвинениям), все другие аспекты безопасности данных и необходимо соблюдать закон о конфиденциальности.

Защита и конфиденциальность данных: что представляют собой личные данные?

Персональные данные определены в GDPR как «любая информация, относящаяся к идентифицированному или идентифицируемому лицу, которое может быть идентифицировано по идентификатору, например, имени, идентификационному номеру, данным о местоположении, онлайн-идентификатору или одному или нескольким факторам. специфические для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица ».Сюда входят данные, которые обрабатываются в электронном виде, хранятся в файловой системе, включаются в доступную запись или хранятся в государственном органе.

Что касается данных о сотрудниках, это может включать:

  • CV, ссылки и файлы приложений
  • Личные дела
  • Информация о заработной плате, включая налоговые и страховые данные
  • Медицинские файлы
  • Трудовые договоры, компенсации и льготы
  • Анализ и оценка эффективности

Любая компания, которая собирает, хранит, собирает, организует, извлекает, раскрывает, передает или иным образом предоставляет личные данные сотрудника, находящегося в ЕС, должна гарантировать, что они применяют правильные меры GDPR для защиты конфиденциальности сбора данных сотрудников.

Как можно защитить данные сотрудников?

Что касается сотрудников, то ответственность за защиту и сохранность личных данных несет отдел кадров. В США несоблюдение стандартов, установленных Законом о справедливых и точных кредитных операциях (FACT Act) и Законом о справедливой кредитной отчетности (FCRA), может привести к серьезным штрафам. А для сотрудников, базирующихся в ЕС, менеджеры по персоналу также должны гарантировать, что все процессы обработки данных соответствуют GDPR.

Работодатели должны разработать четкие политики и процедуры, учитывающие эти правила и обеспечивающие их доступность для всех сотрудников.Эти политики должны регулировать все персональные данные, обрабатываемые и обрабатываемые компанией, и они должны регулярно пересматриваться и обновляться. Работодатели должны обеспечить тщательное и непрерывное обучение всего персонала, чтобы сотрудники знали о защите данных США и законах о безопасности, своих правах сотрудников GDPR и важности постоянного соблюдения процедур GDPR. Также должны быть приняты меры, гарантирующие безопасность хранимых данных, включая шифрование и выделенные серверы.

GDPR Хранение данных сотрудников: основные проблемы

Есть много проблем, которые могут возникнуть в результате сохранения данных о сотрудниках. Всегда следует учитывать следующее:

Конфиденциальные личные данные: существуют дополнительные меры, которые необходимо учитывать при работе с конфиденциальными данными, такими как медицинские записи и выплаты сотрудникам. Эти меры направлены на охрану здоровья и безопасности и сокращение дискриминации. Прежде чем компания сможет обрабатывать и / или обрабатывать эти данные, необходимо предоставить явное согласие.

Набор: как рекрутер, может быть заманчивым собрать как можно больше информации о потенциальном кандидате. Не собирайте больше данных, чем вам нужно, и не храните информацию дольше, чем необходимо.

Социальные сети: Используя социальные сети в качестве основы для принятия решений о приеме на работу, вы рискуете столкнуться с проблемами с защитой данных о сотрудниках и с дискриминацией. Четкая политика в отношении социальных сетей должна быть включена в общие процедуры защиты данных компании.

Мониторинг : Если вы отслеживаете электронную почту сотрудников или используете систему видеонаблюдения на рабочем месте, вы должны иметь возможность доказать, что у вас есть законное основание для этого. Персонал должен быть проинформирован и дать согласие, прежде чем к их компьютерам можно будет получить удаленный доступ. Если согласие не будет предоставлено, онлайн-мониторинг может быть классифицирован как взлом, уголовное преступление, влекущее за собой наказание.

Шаблон политики конфиденциальности данных сотрудников

Политика конфиденциальности составляет основу внутренних правил защиты данных компании.Он устанавливает права субъектов данных и обязанности работодателя и устанавливает ряд руководящих принципов, обеспечивающих соответствие данных стандартам GDPR. Хотя политики должны быть адаптированы к потребностям и требованиям каждой компании, есть определенные данные, которые следует включать для всех отраслей.

Хороший шаблон политики конфиденциальности должен включать следующее:

  • Краткое изложение политики и цель
  • Личность и контактные данные работодателя
  • Описание собираемых персональных данных
  • Цели обработки данных
  • Правовая основа, на которой будет производиться обработка
  • Кому передаются личные данные
  • Передаются ли личные данные в / из ЕЭЗ, и если да, то подробные сведения о мерах безопасности, которые применяются для защиты данных
  • Как долго будут храниться личные данные
  • Подробная информация о правах, которыми обладают сотрудники в отношении этих личных данных, включая право требовать от работодателя исправления неверной информации.Согласие сотрудника можно отозвать в любой момент.

Лучшие практики защиты данных сотрудников

Как член HR-команды вы можете применять ряд передовых практик для постоянного мониторинга и улучшения ваших методов защиты данных сотрудников:

  • Разработка эффективных административных , технических и физических средств управления безопасностью данных для всех сфер бизнеса. Убедитесь, что все области осведомлены о требованиях соответствия.
  • Совместно с вашим ИТ-отделом и старшими руководителями разработайте и внедрите серию политик для обработки, хранения и доступа к личным данным сотрудников.Регулярно просматривайте и обновляйте политики, чтобы гарантировать, что они соответствуют самым современным рекомендациям по обеспечению безопасности.
  • Ограничить доступ по принципу служебной необходимости . Периодически проверяйте, кто имеет доступ к конфиденциальной информации, и убедитесь, что весь доступ разрешен и необходим.
  • Работайте со своей командой безопасности , чтобы разработать и понять реакцию вашей компании на инциденты. С учетом сказанного, это должно быть сделано для каждой области, на которую влияют проблемы конфиденциальности (например, использование Интернета, социальные сети, конфиденциальность, информационная безопасность и хранение / уничтожение документов).
  • Убедитесь, что все сотрудники осведомлены о процедурах защиты данных. Убедитесь, что у них есть доступ ко всем политикам, и дайте согласие на обработку их данных.
  • Обучите сотрудников и менеджеров важности соблюдения правил ведения документации. Кроме того, они должны знать риск фишинговых писем, интеллектуального анализа данных и конфиденциальности, а также нарушений безопасности.
  • Всегда шифруйте свои данные .
  • Убедитесь, что вы храните только те данные, которые необходимы для вашего бизнеса.
  • Обучите высшее руководство , чтобы они могли способствовать продвижению культуры приоритета безопасности, чтобы защита данных сотрудников находилась в авангарде каждого процесса и процедуры.

Как хранить конфиденциальные данные

Когда дело доходит до защиты данных, часто упускают из виду фактор хранения. Согласно GDPR, личные данные должны храниться в течение максимально короткого времени. Этот период должен учитывать причины, по которым вашей компании / организации необходимо обрабатывать данные.Кроме того, любые юридические обязательства по хранению данных в течение фиксированного периода времени (например, национальные законы о труде, налогообложении или борьбе с мошенничеством, требующие от вас хранить личные данные о своих сотрудниках в течение определенного периода).

Данные должны храниться на защищенном сервере, и, хотя шифрование не является обязательным, настоятельно рекомендуется. Используя безопасную и надежную систему управления документами, вы можете легко и надежно управлять всеми документами своей компании и сотрудников и эффективно защищать свои данные.Данные могут быть легко доступны и проверены, что помогает компании достичь своей общей цели соответствия.

Какие данные о сотрудниках могут храниться в компании на законных основаниях?

Работодатель может законно владеть следующими данными:

  • Личные данные (имя, адрес, семейное положение и т. Д.)
  • Раса, этническая принадлежность, политическая принадлежность и религия
  • Членство в профсоюзе
  • Биометрия, если ваши отпечатки пальцев используются для идентификации
  • Здоровье и состояние здоровья
  • Налоговый код и другая информация о заработной плате
  • Контактная информация для экстренных случаев
  • Трудоустройство в организации
  • Условия трудоустройства (включая оплату, часы работы, праздники, льготы, отсутствие)
  • Любые несчастные случаи или происшествия на рабочем месте
  • Подтверждение проведенного дождя
  • Любые дисциплинарные взыскания
  • Эксплуатационные обзоры

Работодатель может законно владеть следующими данными только с явного согласия работника:

  • Изображения с камеры или записи видеонаблюдения
  • Информация о программном обеспечении, которое поддерживает и анализирует использование Интернета и трафика электронной почты
  • Записи телефонных звонков или обмена мгновенными сообщениями
  • Удаленное управление всеми мобильными устройствами, такими как телефоны и ноутбуки
  • Отслеживание или данные о местонахождении автомобилей или оборудования компании.

Каковы последствия в случае утечки данных?

Нарушение данных определяется как несанкционированный доступ, потеря, передача или уничтожение личных данных в результате нарушения безопасности. В зависимости от местоположения существуют различные последствия для обнаружения утечки данных. В Великобритании, например, об утечках данных необходимо сообщать в Комиссию по защите данных (DPC) в течение 72 часов. О нарушениях, связанных с личными данными, также необходимо уведомить субъект данных в те же сроки.

Последствия могут включать:

  • Судебное преследование: Закон о защите данных 2018 года содержит положения, квалифицирующие раскрытие личных данных как уголовное преступление. Наказания включают предупреждения, выговоры и штрафы.
  • Может быть наложен временный или постоянный запрет на обработку данных.
  • Значительная потеря дохода. Компании, которые сталкиваются с утечкой данных, часто теряют прибыль в краткосрочной и / или долгосрочной перспективе.
  • Утечка данных может негативно сказаться на репутации и бренде компании, а также на чистой прибыли.

Какие данные о сотрудниках можно, а какие нельзя раскрывать?

Как мы видели, GDPR регулирует личные данные в Европе. В США он также регулируется следующими организациями:

  • Закон о переносимости и подотчетности медицинского страхования (HIPAA), который направлен на защиту конфиденциальности информации о здоровье сотрудников.
  • Закон об американцах с ограниченными возможностями, который также требует от работодателей надежно и конфиденциально хранить информацию о здоровье сотрудников.
  • Закон о справедливой кредитной отчетности (FCRA), направленный на защиту конфиденциальности финансовых данных потребителей и сотрудников.
  • Закон о справедливых и точных кредитных операциях (Закон FACT)

Как правило, личные данные не могут быть раскрыты без явного согласия соответствующего сотрудника. Однако есть определенные обстоятельства, при которых данные сотрудников могут быть раскрыты без согласия:

  • Исполнение договора.
  • Соблюдение юридических обязательств (включая налоговые обязательства и обязательства по борьбе с мошенничеством).
  • Законные интересы работодателя.
  • Выполнение задачи в общественных интересах.
  • Проверка судимости.
  • Медицинские заключения (в нынешних условиях это может включать информацию о том, дал ли сотрудник положительный результат на COVID-19).

Что происходит с данными сотрудника, когда он увольняется из компании?

До сих пор мы разъяснили, что представляют собой персональные данные, какие законы регулируют обработку и обработку данных о сотрудниках, и как компании могут защитить эти правила и обеспечить их соблюдение.Но как насчет того, чтобы сотрудник уволился из компании? Какие требования предъявляет работодатель и какие данные необходимо утилизировать или хранить?

Прежде всего, несмотря на то, что не существует минимальных или максимальных сроков хранения данных о сотрудниках , в законе говорится, что данные не должны храниться дольше, чем это необходимо. Продолжительность хранения данных зависит от многих факторов, включая тип данных и причины для хранения и обработки. Любые ненужные данные должны быть надежно уничтожены.Это относится как к электронным, так и к бумажным документам.

Существуют также другие законодательные требования, которые необходимо учитывать:

  • Учет рабочего времени : необходимо вести в течение двух лет.
  • Заработная плата: необходимо хранить в течение 3 лет с конца последнего налогового года по найму.
  • Записи о материнстве, отцовстве и совместной родительской оплате: должны храниться в течение 3 лет после окончания налогового года, в котором выплаты были прекращены.
  • Трудовая книжка: Как правило, трудовая книжка должна храниться не менее 6 лет на случай, если бывший сотрудник подаст иск в суд по трудовым спорам или иск о нарушении безопасности.

Помимо решения, какие данные следует хранить и какие данные следует уничтожить, ИТ-отдел должен обеспечить извлечение всех электронных устройств компании, включая телефоны, ноутбуки и планшеты, а также немедленное ограничение доступа к внутренним системам, процессам и документам.

Мы надеемся, что советы и рекомендации в этом посте помогут вам разработать и реализовать эффективную политику защиты данных, которая защитит данные всех ваших клиентов, заказчиков и сотрудников. Упреждающий практический подход к конфиденциальности данных поможет вашей компании обеспечить соответствие, избежать потенциально катастрофических утечек данных и продвигать бренд, основанный на доверии, прозрачности и подотчетности.

Автор Кэт Симондс; Под редакцией Таня Лесюк

HR Лучшие практики по обеспечению безопасности данных сотрудников

Поскольку в Европе усиливается соблюдение требований к защите данных в соответствии с GDPR, а Facebook подвергается критике за неспособность обеспечить безопасность данных пользователей, работодатели также должны осознавать ответственность за сбор данных о сотрудниках.Сотрудники имеют право на неприкосновенность частной жизни в соответствии с федеральными законами и законами штата. Их личная идентификационная информация должна оставаться конфиденциальной, надежно храниться и утилизироваться надлежащим образом.

Типы записей сотрудников в HR

Когда человек подает заявление о приеме на работу в организацию, работодатель начинает сбор данных об этом человеке. Со временем работодатель создает целую базу данных записей, которая может включать:

  • Записи о найме, такие как
    • Водительское удостоверение, паспорт или другая идентификационная информация
    • Форма I-9 или записи E-Verify
    • Информация о преимуществах
    • Письмо-предложение
    • Резюме
  • Записи о занятости, такие как
    • Заработная плата и табели учета рабочего времени
    • W-4 или налоговая отчетность
    • Эксплуатационные обзоры
    • Контактная информация для экстренных случаев
  • Информация о проверке биографических данных, например
  • Медицинская информация, включая
    • Результаты теста на наркотики
    • Контактная информация для экстренных случаев

Работодателям необходимо знать:

  • Какие записи следует хранить?
  • Как долго их следует хранить?
  • Какие из них следует уничтожить?
  • Как правильно уничтожить данные?

Некоторые записи действительно необходимо хранить в течение некоторого времени, например, в случае, если работодатель привлечен к суду заявителями за несоблюдение правил FCRA.Предполагается, что работодатели также будут соблюдать федеральные нормы и правила штата по хранению и уничтожению записей о сотрудниках.

См. Также : Судимости сотрудников – как далеко вам следует заглядывать

Хранение и хранение записей сотрудников

Различные законодательные акты определяют, какие записи следует хранить, срок хранения и методы уничтожения. В зависимости от типа записи хранение и утилизация могут быть разными. У Министерства труда, например, есть информационный бюллетень, в котором резюмируются требования к ведению документации в соответствии с Законом о справедливых трудовых стандартах (FLSA).Он не указывает, должны ли записи храниться в бумажном или электронном виде, однако он предлагает работодателям хранить эти и другие идентифицирующие данные о сотрудниках:

  • ФИО сотрудника и номер социального страхования
  • Полный адрес
  • Дата рождения, если моложе 19 лет
  • Секс
  • Род занятий
  • И более

Информационный бюллетень также определяет, какие записи должны храниться, как долго и как они должны храниться.EEOC также инструктирует работодателей об обязательствах по ведению документации.

Лучшие практики ведения учета сотрудников

В соответствии с передовой практикой работодатели должны хранить все записи о сотрудниках не менее 3 лет. Менеджеры по персоналу также должны проверить свои собственные государственные требования к хранению или ведению документации сотрудников, поскольку они могут требовать более строгих временных периодов.

Другие передовые методы включают создание последовательной политики, предложенной Обществом управления человеческими ресурсами.Учитывайте эти стандарты:

  • Электронный или бумажный – выберите единообразную форму ведения записей для всех сотрудников и, если существует несколько копий, определите, как они защищены от несанкционированного доступа.
  • Храните некоторые формы отдельно – записи о сотрудниках могут нуждаться в категоризации в случае, если к некоторым записям нужно обращаться или хранить иначе, чем другие.
  • Категоризация – некоторые категории, которые следует учитывать, – это предварительная занятость, история работы, иммиграция, платежная ведомость, льготы и медицинское обслуживание.
  • Уничтожить, как указано – записи не должны быть уничтожены, если судебный процесс не завершен. Работодатели также должны проверять сроки хранения перед уничтожением или сжиганием файлов сотрудников.

Думаете о переносе записей о приеме на работу в облако или о создании соответствующего электронного процесса приема на работу? Узнайте больше об облаке соответствия VeriFirst, запланировав демонстрацию.

Принцип ограничения хранения – Как долго вы должны хранить личные данные? – Диспетчер конфиденциальности данных

Вы, наверное, уже знаете, что Общий регламент защиты данных (GDPR) устанавливает довольно строгие правила в отношении сбора, обработки и хранения личных данных.

От вас требуется соблюдение требований на протяжении всей обработки, что может оказаться немного сложным, если вы попытаетесь определить хранения данных . Главный вопрос, который возникает: как долго нужно хранить личные данные?

Принцип ограничения хранения только указывает, что вы не должны хранить личные данные дольше, чем необходимо, но как долго это длится?

GDPR не дает вам ответа на этот вопрос. Вам придется выяснить это для себя с учетом принципа минимизации данных, принципа точности и национальных законов.

Вкратце – вы должны хранить данные в кратчайшие сроки . Мы обсудим, как определить соответствующие периоды хранения данных для вашей деятельности по обработке, чтобы вы могли максимально использовать свои данные и при этом соответствовать требованиям GDPR.

Обязаны ли вы определять срок хранения данных?

Да, GDPR требует, чтобы вы документировали свою деятельность по обработке, чтобы подтвердить свое соответствие и вести записи по нескольким вещам, таким как цели обработки, совместное использование данных и хранение данных.

От вас могут потребовать предоставить эту информацию своему надзорному органу. В ICO говорится:

Чтобы соответствовать требованиям к документации, вам необходимо установить и задокументировать стандартные сроки хранения для различных категорий информации, которую вы храните, где это возможно. Также желательно иметь систему для обеспечения того, чтобы ваша организация соблюдала эти периоды хранения на практике, и для проверки срока хранения через соответствующие промежутки времени.

Ваша политика также должна быть достаточно гибкой, чтобы в случае необходимости допускать раннее удаление.Например, если вы на самом деле не используете запись, вам следует пересмотреть, нужно ли вам ее сохранять.

Принцип ограничения хранения

Принцип ограничения хранения в основном гласит, что личные данные должны храниться до тех пор, пока цель не будет достигнута . Ограничение хранения только предусматривает, что личные данные должны храниться в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это необходимо для целей, для которых обрабатываются личные данные.

Это оставляет вам как создателю собственных политик хранения данных и много места для непреднамеренных упущений.

С чего начать?

Итак, вы собрали все эти данные, которые вы обязаны обрабатывать в соответствии с трудовым законодательством, или ваш HR собрал сотни резюме потенциальных кандидатов с течением времени, или вы запустили различные маркетинговые кампании и собрали личные данные потенциальных клиентов.

Независимо от того, как вы собирали личные данные, при определении сроков хранения данных всегда лучше начинать с с целью обработки .

Подумайте, какой цели вы хотите достичь и как долго вам понадобятся собираемые данные для достижения этой цели.

Если вы собираете персональные данные, которые вы обязаны обрабатывать по закону, это значительно упрощает вашу задачу по определению срока хранения данных. Просто следуйте своему национальному законодательству.

Например, налоговое законодательство может обязывать вас вести учет в течение нескольких лет или хранить личные данные ваших сотрудников в течение определенного времени.

Однако, если нет законов, определяющих сохранение данных для определенных данных, вы обязаны определить временные рамки для удаления данных и периодически проверять сохраненные данные.

Использование программного обеспечения для управления личными данными может избавить вас от многих проблем и автоматически давать инструкции другой системе, когда необходимо выполнить удаление данных.

Вы также можете определить операции хранения и удаления данных для различных категорий данных.

Если вы обрабатываете личные данные для архивных целей, в общественных интересах, статистических и исторических исследовательских целей или статистических целей , вы можете хранить свои данные на неопределенный срок.

Но помните, что вы не можете обрабатывать эти наборы данных для каких-либо других целей, и вы обязаны принять соответствующие технические и организационные меры.

Как определить срок хранения данных?

Когда вы определили цель обработки, вам необходимо установить период хранения данных или то, как долго вы должны хранить данные перед удалением или анонимизацией данных.

При этом следуйте основной логике. Срок хранения должен быть соразмерен цели.Лучше всего пояснить это на нескольких примерах:

Пример # 1

Мы говорили о видеонаблюдении в соответствии с GDPR, и мы вкратце коснулись темы хранения видеозаписей с камер видеонаблюдения и сроков хранения данных. В руководстве EDPB приведен пример:

«Если вы ведете видеонаблюдение во избежание вандализма, достаточно регулярного хранения в размере 24 часа. Закрытые выходные или праздничные дни могут быть причиной более длительного хранения.Если повреждение обнаружено, вам также может потребоваться хранение видеозаписи в течение более длительного периода времени, чтобы предпринять юридические действия ».

Пример # 2

Европейская комиссия дает отличный пример определения срока хранения данных для резюме, собранных в процессе найма в компании, которая управляет кадровым бюро.

Собранные резюме принадлежат лицам, ищущим работу. Если срок хранения данных установлен на 20 лет, период хранения не пропорционален цели трудоустройства человека в краткосрочной или среднесрочной перспективе.

Также, если вы не обновляете резюме время от времени, они в конечном итоге станут неточными или неактуальными, и вы больше не сможете их использовать, поэтому их слишком долгое хранение не имеет смысла.

Некоторые вопросы, которые следует задать при определении срока хранения данных:

  • Нужно ли вам хранить личные данные для подачи любых будущих судебных исков
  • Есть ли нормативные или юридические требования к хранению личной информации?
  • Нужно ли вам вести учет отношений с предыдущим клиентом?

Каковы преимущества определения правильного периода хранения данных?

1.Избегайте кладбищ данных

Все больше компаний борются с чем-то, что называется кладбищем данных. Если вы никогда не слышали об этом термине, это именно то, как он звучит: огромное хранилище неиспользуемых, неучтенных, ненужных данных. Эти данные в конечном итоге засоряют и задыхают серверы компании и увеличивают общие расходы.

2. Экономьте время и деньги

Хранение и хранение личных данных, которые вам не нужны, несомненно, повлечет за собой дополнительных затрат , связанных с хранением и безопасностью данных.Бессмысленно хранить ненужные данные, платить за их хранение, а затем тратить еще больше ресурсов, пытаясь защитить данные, которые вам даже не нужны.

3. Оставайтесь послушными

Сотрудник по защите данных отвечает за надзор за программой соответствия и является контактным лицом между субъектами данных и надзорным органом, это означает, что DPO должен отвечать на каждый запрос субъекта данных .

Это может стать чрезвычайно трудным, если вы храните чрезмерный объем данных или храните старые данные дольше, чем вам нужно.Внедрение политик хранения данных может снизить нагрузку на запросы о хранении и отдельные запросы на удаление.

Что происходит с данными, которые вам больше не нужны?

Если вам больше не нужны данные, вы можете анонимизировать их или удалить. Удаление данных – одна из новых проблем, которую необходимо решить, поскольку вы нарушите GDPR, если храните ненужные данные или храните данные слишком долго.

Вы можете загрузить нашу электронную книгу «Решение для удаления данных в соответствии с GDPR», в которой объясняется, как организовать удаление данных в своей компании.

Как долго вы должны хранить данные о ваших сотрудниках в соответствии с GDPR?

Команда Matheson обсуждает передовые методы хранения данных в соответствии с GDPR.

GDPR не определяет сроки хранения персональных данных. Вместо этого в нем говорится, что личные данные могут храниться только в форме, позволяющей идентифицировать человека, не дольше, чем это необходимо для целей, для которых они были обработаны.

Таким образом, при принятии решения о том, как долго хранить личные данные, работодатели будут принимать решение на основе установленных законом сроков хранения, сроков давности по претензиям, индивидуальных потребностей бизнеса и принципов качества данных.

Ниже приведена таблица для работодателей, в которой указаны их обязательства по сохранению данных о занятости в соответствии с определенными законами о занятости. Мы рекомендуем работодателям использовать эти установленные законом сроки хранения в качестве ориентира для минимального периода времени, в течение которого должны храниться соответствующие данные о сотрудниках.

В большинстве случаев наиболее подходящим критерием будет продолжительность записи, которая может потребоваться для защиты от любых потенциальных претензий.

Претензии по телесным повреждениям

Например, в случае потенциального иска о причинении личного вреда, соответствующие записи для защиты такого иска в идеале должны быть доступны за трехлетний период.Потенциальное нарушение условий контракта потребует хранения соответствующих записей в течение семи лет с даты нарушения.

Если претензия находится под угрозой или выдана, работодатель может хранить записи дольше, если это необходимо.

Пример данных сотрудника Срок хранения по закону
Расчетные ведомости и записи о заработной плате 3 года
График работы в неделю, имя и адрес сотрудника, номера PPS и должностные обязанности 3 года
Записи о сотрудниках младше 18 лет 3 года
Записи, относящиеся к коллективному сокращению 3 года
Записи об отпуске по уходу за ребенком 8 лет
Налоговая отчетность 6 лет
Записи о несчастных случаях на производстве 10 лет
Записи о разрешении на работу 5 лет или стаж

На практике мы обнаруживаем, что большинство работодателей удаляют данные о бывших сотрудниках в какой-то момент после окончания минимально необходимого установленного законом периода, но задолго до истечения семилетнего периода (шесть лет – это период, в течение которого сотрудник могут подать иск о нарушении условий контракта плюс один год на период времени, в течение которого им разрешено уведомить об этом работодателя).

Не существует точной науки в отношении определения срока хранения, подходящего для отдельной организации, так как он включает балансировку риска защиты данных (т. Е. Несоблюдения срока хранения данных) с риском предъявления иска сотруднику до предъявления иска. истечение соответствующего срока исковой давности.

Таким образом, наш рекомендуемый подход для удовлетворения требований ирландского трудового законодательства и требований GDPR будет заключаться в сохранении данных в течение установленного законом минимально необходимого периода.В обстоятельствах, когда в конце этого периода работодатель все еще обеспокоен тем, что конкретный сотрудник подает претензию, мы рекомендуем продлить этот срок (до семи лет). Однако, по нашему опыту, если сотрудник не инициировал судебное разбирательство в течение установленного законом минимального срока для предъявления претензии (обычно шесть месяцев), вероятность претензии не очень высока.

Исключение составляют иски о производственных травмах. Мы ожидаем, что работодатели разработают практику проверки данных о сотрудниках, например, на регулярной или ежегодной основе, и, если нет веской причины для хранения таких данных, такая информация или любой ненужный ее элемент будет регулярно удаляться.

Определение подходящих сроков хранения

Надеюсь, к этому моменту ваша организация либо определила, либо находится в процессе определения причин, по которым она хранит данные о сотрудниках. К настоящему времени ваша организация также должна иметь возможность определять юридически приемлемые периоды хранения для этих данных о сотрудниках и какова будет ваша политика хранения данных.

В соответствии с требованиями прозрачности GDPR и для того, чтобы продемонстрировать соответствие, жизненно важно, чтобы работодатели сообщали сотрудникам, среди прочего, их причины для хранения данных о сотрудниках и соответствующие применимые сроки хранения.

Брайан Данн, партнер Matheson (в соавторстве со старшим юристом Эйслингом Паркинсон и солиситором Тиной О’Салливан из Matheson)

Версия этой статьи изначально появилась на веб-сайте Мэтисона.

Как долго я должен хранить записи о персонале в соответствии с GDPR?

По мере приближения крайнего срока Общего регламента защиты данных (GDPR) у вас может возникнуть несколько вопросов о новом законе в последнюю минуту.

Вам может быть интересно, как долго вам нужно вести учет персонала.Ответ на этот вопрос будет зависеть от того, чьи данные вы храните и как долго вы их уже храните.

Узнайте, как долго вам следует вести учет нынешних сотрудников, бывших сотрудников и кандидатов на вакансию.

Текущий персонал

GDPR не устанавливает никаких минимальных или максимальных сроков хранения данных о персонале. Но в нем говорится, что вы не должны хранить личные данные дольше, чем это необходимо.

Срок хранения данных будет зависеть от причины, по которой вы их собрали.Например, если вы собираете контактный номер сотрудника для использования в экстренных случаях, нет необходимости сохранять его после увольнения сотрудника.

Вы должны решить, как долго нужно хранить данные. Тем не менее, есть требования закона, которым вы должны следовать.

Вот несколько:

  • Учет рабочего времени: Хранить в течение 2 лет с даты, к которой относятся записи.
  • Заработная плата: Хранить в течение 3 лет с конца налогового года, к которому они относятся.
  • Записи о материнстве, отцовстве или совместной родительской оплате: Хранить в течение 3 лет после окончания налогового года, в котором выплаты были прекращены.

Бывшие сотрудники

После увольнения сотрудника не следует сразу же убирать его записи. Они могут понадобиться вам для защиты от иска трибунала или суда.

Как правило, работник может подать иск в суд по трудовым спорам в течение трех месяцев после прекращения трудовой деятельности. Но в зависимости от претензии лимит может составлять шесть месяцев и больше.

Если сотрудник заявляет, что вы нарушили его контракт, он может подать на вас в суд по гражданским делам. Они могут сделать это в течение шести лет после предполагаемого нарушения.

В результате вы должны хранить личные данные, служебные аттестации и трудовые договоры в течение шести лет после увольнения сотрудника.

Не забывайте, бывший сотрудник или кто-либо, о ком у вас есть данные, может отправить вам запрос на доступ к теме (SAR), чтобы узнать, какие данные о них у вас есть.

Чтобы составить собственную политику SAR, воспользуйтесь бесплатным шаблоном из нашего центра загрузок.

Соискатели

Вы собираете много информации от соискателей, включая резюме, сопроводительные письма и заметки к собеседованию.

Вы должны хранить эти данные в течение 6 месяцев, даже если заявителю не удалось добиться успеха, поскольку в течение этого времени они могут зарегистрировать против вас иск о дискриминации.

Хотите сохранить резюме на будущее? Чтобы соответствовать GDPR, вам необходимо получить согласие соискателей и убедиться, что их информация актуальна.

Чтобы выполнить наши 12 шагов по обеспечению соответствия GDPR, посетите наш информационный центр GDPR.

Легко управляйте записями персонала с помощью BrightHR

Вероятно, вы не хотите, чтобы пыльные картотеки загромождали ваше рабочее место. А с BrightHR они вам не понадобятся.

BrightHR имеет неограниченное пространство для хранения кадровых документов, поэтому вы можете хранить все файлы своих сотрудников в одном месте – столько, сколько захотите.

Это еще не все. Ваши сотрудники могут получить доступ к своей личной информации и обновить ее.

И если они попросят вас удалить часть их данных, вы можете заверить их, что это будет навсегда.Это связано с тем, что BrightHR удалит его безвозвратно.

Запросите бесплатную демонстрацию сегодня, чтобы увидеть, насколько легко BrightHR упрощает управление записями ваших сотрудников.

Принцип (e): Ограничение хранения | ICO

Кратко

  • Вы не должны хранить личные данные дольше, чем это необходимо.
  • Вам нужно подумать и уметь обосновать, как долго вы храните личные данные. Это будет зависеть от ваших целей хранения данных.
  • Вам нужна политика, устанавливающая стандартные сроки хранения везде, где это возможно, чтобы соответствовать требованиям документации.
  • Вам также следует периодически просматривать данные, которые вы храните, и стирать или анонимизировать их, когда они вам больше не нужны.
  • Вы должны внимательно рассмотреть любые проблемы, связанные с хранением данных. Физические лица имеют право на удаление, если вам больше не нужны данные.
  • Вы можете хранить личные данные дольше, если храните их только для архивирования общественных интересов, научных или исторических исследований или статистических целей.

Контрольный список

☐ Мы знаем, какие личные данные мы храним и зачем они нам нужны.

☐ Мы внимательно рассматриваем и можем обосновать, как долго мы храним личные данные.

☐ У нас есть политика со стандартными сроками хранения, где это возможно, в соответствии с обязательствами по документации.

☐ Мы регулярно проверяем нашу информацию и удаляем или анонимизируем личные данные, когда они нам больше не нужны.

☐ У нас есть соответствующие процессы для удовлетворения запросов отдельных лиц об удалении в соответствии с «правом на забвение».

☐ Мы четко определяем любые личные данные, которые нам необходимо хранить для архивирования общественных интересов, научных или исторических исследований или статистических целей.

Вкратце

Каков принцип ограничения хранения?

Статья 5 (1) (e) гласит:

1. Персональные данные:

(e) хранится в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это необходимо для целей, для которых обрабатываются персональные данные; Персональные данные могут храниться в течение более длительных периодов времени, поскольку персональные данные будут обрабатываться исключительно для целей архивирования в общественных интересах, в целях научных или исторических исследований или в статистических целях в соответствии со Статьей 89 (1) при условии выполнения соответствующих технических и организационных меры, требуемые настоящим Регламентом для защиты прав и свобод субъекта данных («ограничение хранения») »

Таким образом, даже если вы собираете и используете личные данные честно и законно, вы не можете хранить их дольше, чем они вам действительно нужны.

Здесь есть тесные связи с принципами минимизации данных и точности.

GDPR Великобритании не устанавливает конкретных сроков для разных типов данных. Это зависит от вас и зависит от того, как долго вам нужны данные для ваших указанных целей.

Почему важно ограничение хранения?

Если вы удалите или анонимизируете личные данные, когда они вам больше не нужны, это снизит риск того, что они станут неактуальными, чрезмерными, неточными или устаревшими.Помимо помощи в соблюдении принципов минимизации и точности данных, это также снижает риск того, что вы будете использовать такие данные по ошибке – в ущерб всем заинтересованным сторонам.

Личные данные, хранящиеся слишком долго, по определению не нужны. У вас вряд ли будет законное основание для удержания.

С практической точки зрения неэффективно хранить больше личных данных, чем вам нужно, и могут возникнуть ненужные расходы, связанные с хранением и безопасностью.

Помните, что вы также должны отвечать на запросы о доступе к любым личным данным, которые вы храните. Это может быть труднее, если вы храните старые данные дольше, чем вам нужно.

Хорошая практика в отношении ограничения хранилища – с четкими политиками в отношении сроков хранения и стирания – также, вероятно, снизит нагрузку на обработку запросов о сроках хранения и индивидуальных запросов на стирание.

Нужна ли нам политика хранения?

В политиках хранения

или расписаниях хранения перечислены типы записей или информации, которые вы храните, для чего вы их используете и как долго вы собираетесь их хранить.Они помогут вам установить и задокументировать стандартные сроки хранения для различных категорий персональных данных.

График хранения может быть частью более широкого «реестра информационных активов» (IAR) или вашей общей документации по обработке.

Чтобы соответствовать требованиям к документации, вам необходимо установить и задокументировать стандартные сроки хранения для различных категорий информации, которую вы храните, где это возможно. Также желательно иметь систему для обеспечения того, чтобы ваша организация соблюдала эти периоды хранения на практике, и для проверки срока хранения через соответствующие промежутки времени.Ваша политика также должна быть достаточно гибкой, чтобы при необходимости можно было выполнить досрочное удаление. Например, если вы на самом деле не используете запись, вам следует пересмотреть, нужно ли вам ее сохранять.

Если вы небольшая организация, периодически выполняющая обработку с низким уровнем риска, вам может не понадобиться документированная политика хранения.

Однако, если у вас нет политики хранения (или если она не охватывает все личные данные, которые вы храните), вы все равно должны регулярно просматривать данные, которые у вас есть, и удалять или анонимизировать все, что вам больше не нужно.

Как установить сроки хранения?

GDPR Великобритании не определяет, как долго вы должны хранить личные данные. Вы должны обосновать это, исходя из ваших целей обработки. Вы можете лучше всего судить о том, как долго вам это нужно.

Вы также должны иметь возможность обосновать, почему вам необходимо хранить личные данные в форме, позволяющей идентифицировать людей. Если вам не нужно идентифицировать людей, вы должны анонимизировать данные, чтобы идентификация была невозможна.

Например:

  • Вы должны учитывать заявленные вами цели обработки персональных данных. Вы можете хранить их до тех пор, пока применима одна из этих целей, но вы не должны хранить данные бесконечно «на всякий случай» или если существует лишь небольшая вероятность того, что вы будете их использовать.

Пример

Банк хранит персональные данные о своих клиентах. Сюда входят сведения об адресе, дате рождения и девичьей фамилии матери каждого клиента.Банк использует эту информацию в рамках своих процедур безопасности. Банку целесообразно хранить эти данные до тех пор, пока у клиента есть счет в банке. Даже после закрытия счета банку может потребоваться сохранить часть этой информации по юридическим или оперативным причинам в течение дополнительного установленного времени.

Пример

Банку может потребоваться сохранить изображения из системы видеонаблюдения, установленной для предотвращения мошенничества в банкомате, в течение нескольких недель, поскольку подозрительная транзакция может не обнаружиться, пока жертва не получит выписку из банка.Напротив, пабу может потребоваться сохранить изображения из своей системы видеонаблюдения только в течение короткого периода времени, потому что инциденты будут обнаруживаться очень быстро. Однако, если о преступлении будет сообщено в полицию, пабу необходимо будет хранить изображения, пока полиция не успеет их забрать.

Пример

Агентство по розыску хранит личные данные о должнике, чтобы оно могло найти это лицо от имени кредитора. После того, как оно нашло физическое лицо и сообщило кредитору, может отпасть необходимость в сохранении информации о должнике – агентство должно удалить ее из своих систем, если нет веских причин для ее сохранения.Такие причины могут включать, если агентство также было предложено взыскать долг, или потому, что агентство уполномочено использовать информацию для отслеживания должников от имени других кредиторов.

  • Вам следует подумать, нужно ли вам вести учет отношений с человеком после их окончания. Возможно, вам не потребуется удалять все личные данные по окончании отношений. Возможно, вам потребуется сохранить некоторую информацию, чтобы вы могли подтвердить, что отношения существовали и что они закончились, а также некоторые их детали.

Пример

Компании может потребоваться сохранить некоторые личные данные о предыдущем клиенте, чтобы иметь возможность разбираться с любыми жалобами клиента на предоставленные услуги.

Пример

Работодатель должен проверить свои личные данные о сотруднике, когда они увольняются с работы в организации. Потребуется хранить достаточно данных, чтобы организация могла иметь дело, например, с предоставлением справок или пенсионными соглашениями.Тем не менее, он должен удалить из своих записей личные данные, которые вряд ли понадобятся ему снова, например, контактные данные сотрудника в чрезвычайных ситуациях, предыдущие адреса или данные получателя помощи в случае смерти на службе.

Пример

Компания получает уведомление от бывшего клиента с требованием прекратить обработку персональных данных клиента для прямого маркетинга. Для бизнеса целесообразно хранить достаточно информации о бывшем клиенте, чтобы прекратить включать этого человека в будущую деятельность по прямому маркетингу.

  • Вам следует подумать, нужно ли вам хранить информацию для защиты возможных будущих судебных исков. Однако вы все равно можете удалить информацию, которая не может иметь отношения к такой претензии. Если нет другой причины для их хранения, личные данные должны быть удалены, когда такая претензия больше не может возникать.

Пример

Работодатель получает несколько заявлений о приеме на работу. За исключением случаев, когда для этого есть четкая деловая причина, работодатель не должен вести записи о приеме на работу неудачных кандидатов сверх установленного законом периода, в течение которого может быть подана претензия, вытекающая из процесса приема на работу.

  • Вам следует учитывать любые законодательные или нормативные требования. Существуют различные юридические требования и профессиональные инструкции по ведению определенных видов записей, таких как информация, необходимая для целей налогообложения и аудита, или информация по аспектам здоровья и безопасности. Если вы храните личные данные в соответствии с таким требованием, вы не будете считаться хранящими информацию дольше, чем это необходимо.
  • Вам следует принять во внимание любые соответствующие отраслевые стандарты или рекомендации.Например, мы договорились, что кредитным агентствам разрешено хранить данные о потребительских кредитах в течение шести лет. Отраслевые руководящие принципы являются хорошей отправной точкой для стандартных сроков хранения и, вероятно, предполагают продуманный подход. Однако они не гарантируют соблюдения. Вы все равно должны уметь объяснять, почему эти периоды оправданы, и держать их в поле зрения.

Вы должны не забывать применять соразмерный подход, уравновешивая свои потребности с влиянием удержания на частную жизнь людей.Не забывайте, что хранение ваших данных всегда должно быть справедливым и законным.

Когда следует проверять удержание?

Вам следует проверить, нужны ли вам личные данные в конце любого стандартного периода хранения, и стереть или обезличить их, если нет четкого обоснования для их более длительного хранения. Автоматизированные системы могут помечать записи для просмотра или удалять информацию по истечении заранее определенного периода. Это особенно полезно, если у вас много записей одного типа.

Также рекомендуется регулярно проверять хранение ваших личных данных перед этим, особенно если стандартный период хранения является длительным или существует потенциальная возможность значительного воздействия на людей.

Если у вас нет установленного срока хранения личных данных, вы должны регулярно проверять, нужны ли они вам.

Однако не существует твердого правила о том, насколько регулярными должны быть эти проверки. Ваши ресурсы могут быть здесь важным фактором наряду с риском для конфиденциальности для отдельных лиц.Важно помнить, что вы должны иметь возможность обосновать свое удержание и то, как часто вы его просматриваете.

Вы также должны проверить, нужны ли вам все еще личные данные, если об этом попросит физическое лицо. Физические лица имеют абсолютное право на удаление личных данных, которые вам больше не нужны для указанных вами целей.

Что нам делать с личными данными, которые нам больше не нужны?

Вы можете стереть (удалить) его или сделать его анонимным.

Вы должны помнить, что существует значительная разница между окончательным удалением личных данных и их отключением.Если личные данные хранятся в автономном режиме, это должно снизить их доступность и снизить риск неправильного использования или ошибки. Однако вы по-прежнему обрабатываете личные данные. Вы должны хранить его в автономном режиме (а не удалять), только если вы все еще можете оправдать его хранение. Вы должны быть готовы отвечать на запросы тематического доступа к персональным данным, хранящимся в автономном режиме, и при этом соблюдать все остальные принципы и права.

Слово «удаление» может означать разные вещи в отношении электронных данных, и мы понимаем, что не всегда можно удалить или стереть все следы данных.Ключевой вопрос заключается в том, чтобы гарантировать, что данные не будут использоваться. Если уместно удалить личные данные из действующей системы, вы также должны удалить их из любой резервной копии информации в этой системе.

Дополнительная литература

Мы подготовили подробное руководство по вопросам, связанным с удалением в соответствии с Законом 1998 года. Он будет обновлен для GDPR Великобритании в свое время, но тем временем по-прежнему предлагает полезные рекомендации по практическим вопросам, связанным с удалением:

Удаление личных данных


В качестве альтернативы вы можете анонимизировать данные, чтобы они больше не были «в форме, позволяющей идентифицировать субъектов данных».

Псевдонимизированные персональные данные – например, с ключом – обычно позволяют идентифицировать личность. Псевдонимизация может быть полезным инструментом для соблюдения других принципов, таких как минимизация данных и безопасность, но принцип ограничения хранилища по-прежнему применяется.

Как долго мы можем хранить личные данные для архивных, исследовательских или статистических целей?

Вы можете хранить личные данные на неопределенный срок, если вы держите их только для:

  • целей архивирования в интересах общества;
  • научных или исторических исследовательских целей; или
  • статистических целей.

Хотя общее правило заключается в том, что вы не можете хранить личные данные бесконечно «на всякий случай», они могут быть полезны в будущем, есть встроенное исключение, если вы храните их для этих архивных, исследовательских или статистических целей.

У вас должны быть соответствующие меры безопасности для защиты людей. Например, в некоторых случаях может быть уместна псевдонимизация.

Это должно быть вашей единственной целью. Если вы оправдываете бессрочное хранение на этом основании, вы не можете впоследствии использовать эти данные для других целей – в частности, для любых решений, затрагивающих конкретных лиц.Это не мешает другим организациям получать доступ к публичным архивам, но они должны гарантировать, что их собственный сбор и использование личных данных соответствует принципам.

Как это применимо к обмену данными?

Если вы делитесь личными данными с другими организациями, вы должны согласовать между собой, что произойдет, когда вам больше не нужно будет делиться этими данными. В некоторых случаях может быть лучше вернуть общие данные в организацию, которая их предоставила, без сохранения копии. В других случаях все вовлеченные организации должны удалить свои копии личных данных.

Пример

Персональные данные о клиентах компании A передаются компании B, которая ведет переговоры о покупке бизнеса компании A. Компании принимают меры к тому, чтобы Компания Б сохраняла конфиденциальность информации и использовала ее только в связи с предполагаемой транзакцией. Продажа не происходит, и Компания B возвращает информацию о клиенте компании A без сохранения копии.

Каждой организации, участвующей в инициативе по обмену информацией, может потребоваться установить свои собственные периоды хранения, поскольку у некоторых могут быть веские причины для хранения личных данных дольше, чем у других.Однако, если вы все храните данные только для целей инициативы по обмену данными и они больше не нужны для этой инициативы, то все организации, у которых есть копии информации, должны удалить их.

.