Документы по персональным данным: организация учета и хранения ПДн в организации

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Документы по персональным данным: организация учета и хранения ПДн в организации». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Передача персональных данных за границу

Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных. А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут. Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.

Как подтвердить уничтожение персональных данных

Правила подтверждения факта уничтожения персональных данных утверждены приказом Роскомнадзора от 28.10.2022 № 179, вступившим в силу с 1 марта 2023 года. По новым правилам, если обработка персональных данных осуществляется вручную, без применения компьютеров, то уничтожение персональных данных нужно подтверждать специальным актом об уничтожении. Если же компания обрабатывает персональные данные с использованием компьютерной техники, то она по завершении уничтожения данных должна представить и соответствующий акт, и выгрузку из журнала регистрации событий в информационной системе персональных данных. То же самое касается и случаев, когда обработка персональных сведений в компании производится и вручную и с применением компьютерной техники.

Никакой специальной формы для акта об уничтожении персональных данных законодательством не предусмотрено. Компания может составить его в произвольной форме. Главное, чтобы акт содержал следующие реквизиты и сведения:

• наименование организации или ФИО предпринимателя и их адрес местонахождения;
• ФИО лиц, чьи персональные данные были уничтожены;
• ФИО и должность лица, уничтожившего персональные данные, а также его подпись;
• перечень категорий уничтоженных персональных данных;
• наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных вручную);
• наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае их обработки на компьютере);
• способ уничтожения персональных данных;
• причину уничтожения данных и дату уничтожения.

Выгрузка из журнала регистрации должна содержать:

• ФИО лиц, чьи персональные данные были уничтожены;
• перечень категорий уничтоженных персональных данных;
• наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
• причину уничтожения персональных данных и дату их уничтожения.

Что изменится с 1 марта 2023

Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).

В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.

Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).

1. Персональные данные — это любая информация о человеке и его деятельности. Чаще всего персональными считают данные в связках: не просто имя, а имя и номер телефона или имя и место работы. Но иногда персональными могут признать и данные без связок, так как чёткого
определения в законе нет.
2. Чтобы собирать и хранить персональные данные, нужно подготовить политику конфиденциальности и другие документы, подать уведомление в Роскомнадзор и назначить ответственных сотрудников.
3. Хранить и использовать персональные данные можно только с согласия клиентов, даже если они сами выложили их в интернет. Нельзя хранить лишнюю информацию — ту, которая не нужна для вашей бизнес-задачи.
4. За нарушение закона о персональных данных грозят штрафы.

Изменения в правилах работы с персональными данными сотрудников в 2023 году

В 2023 году произошли законодательные изменения, которыми было утверждено, что согласие на обработку данных, разрешенных гражданином к передаче, необходимо оформлять отдельно от иных видов согласий. То есть стандартного документа от работника уже недостаточно, для этого необходимо отдельное согласие, даже в том случае, если человек указал в стандартном документе, что он не против передачи его сведений другим лицам.

Случаи, когда необходимо отдельное согласие физического лица:

1. Организация занимается распространением данных неограниченному кругу лиц.
2. Организация занимается передачей информации третьим лицам.

К примеру, если компания намерена разместить данные сотрудника на своем сайте, то ей необходимо получить у человека отдельное согласие на передачу такой информации.

Разработка документов по персональным данным в организации согласно действующим правовым нормативам

Центр безопасности данных является высокопрофессиональным интегратором систем защиты персональных данных. В штате нашей компании присутствуют как специалисты технического, так и юридического профиля, которые в синтезе дают прекрасное сочетание для разработки различных комплектов документации, соответствующих предъявляемым техническим требованиям и правовым нормам.

Подготовка документации по ПДн осуществляется на основе тщательного изучения положений не только ФЗ-152, но и Постановлений Правительства и других нормативных актов, регулирующих вопросы обеспечения безопасности личных сведений граждан при их хранении и обработке. Наш центр разрабатывает документы с учетом Приказа ФСТЭК РФ № 21 от 18 февраля 2013 года и Постановления Правительства № 1119 от 01.11.2012. Как лицензиат Федеральной службы по техническому и экспортному контролю мы точно знаем, какие требования предъявляются данной организацией, что позволяет эффективно помогать компаниям, нацеленным на прохождение аттестации.

Пакет документов, регламентирующих вопросы обработки и защиты персональных данных, разрабатывается индивидуально для вашей компании и состоит из более чем 40 документов от концепций и положений до шаблонов уведомлений и образцов писем.

Новые требования к согласию на обработку персональных данных

Появились дополнительные критерии, которым должно соответствовать согласие на обработку персональных данных.

Теперь оно должно быть не только конкретным, информированным и сознательным, а еще и предметным и однозначным. Однако Роскомнадзор уже давно указывает на то, что субъект данных должен выразить согласие однозначным действием. Поэтому поправка лишь закрепляет подход, который есть в практике.

Ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Еще один подход, который уже давно выработала практика, но который теперь есть в законе: запрет отказывать в услуге из-за того, что гражданин не предоставил биометрические данные или согласие на их обработку.

Предоставление биометрических персональных данных не может быть обязательным. Какие требования теперь есть к поручению на обработку данных Теперь в поручении оператора на обработку данных должен быть перечень персональных данных.

Операторам придется выбирать: указывать широкие общие или четкие узкие категории данных. Каждый из вариантов несет свой риск. Так, в первом случае есть вероятность, что практика не будет толковать категории так же широко, как оператор и обработчик данных. Но если выбрать наиболее детальные категории, поручение вероятно придется часто редактировать, поскольку объем данных может меняться.

Ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

В поручение оператора на обработку персональных данных необходимо включать и обязанности обработчика: во-первых, соблюдать требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, во-вторых, предоставлять по запросу оператора в течение срока действия поручения информацию, подтверждающую принятие мер и соблюдение установленных требований, в- третьих, информировать Роскомнадзор об инцидентах.

Кроме того, теперь, если оператор поручает обработку иностранному лицу, ответственность за его действия перед субъектом данных будут нести и оператор, и обработчик. Такая поправка повысит внимание Роскомнадзора к иностранным компаниям.

Что такое персональные данные?

Персональные данные — информация, прямо или косвенно соотносимая с конкретным физическим лицом, субъектом ПД (ст. 3 Закона от 27.07.2006 № 152-ФЗ). Любое действие с ПД (например, получение, размещение на носителе, распространение) представляет собой их обработку. Лицо, ее осуществляющее, признается оператором ПД.

Обработка ПД в общем случае законна, только если субъект ПД дал на то согласие. Но если оно не получено, то обработка возможна, в частности (ст. 6 Закона № 152-ФЗ):

• для участия гражданина в судопроизводстве (исполнения судебного акта);
• для реализации полномочий органом власти при оказании гражданину услуг;
• в целях исполнения обязательств по договору (гражданско-правовому, трудовому), заключенному между оператором ПД и субъектом.

Согласие при этом может предусматривать или, наоборот, не предусматривать (запрещать) возможность распространения ПД (то есть, ознакомления с ними неопределенного круга лиц — в СМИ, онлайн).

Предусмотрена обработка следующих видов ПД:

• общих (например, ФИО, номер телефона);
• специальных (политическая позиция, расовая принадлежность);
• биометрических (отпечаток пальцев, рисунок сетчатки глаз);
• иных (не попадающих под вышеуказанные категории).

В целях обеспечения законности обработки ПД их оператор разрабатывает обширную документальную базу. Рассмотрим ее состав.

Основные этапы защиты ПДн

Мы разделили процесс на 9 этапов, о которых ниже расскажем более подробно:

1. обследование;

2. моделирование угроз;

3. разработка технического задания;

4. проектирование системы защиты;

5. реализация технической части системы защиты;

6. реализация организационных мер;

7. оценка эффективности принятых мер;

8. аттестация;

9. поддержание необходимого уровня защиты в процессе эксплуатации.

Хранение и использование персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).

Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.

Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.

Формирование и ведение личного дела

Личные дела могут вестись на всех сотрудников или только на определенных (например, на руководящий состав, сотрудников бухгалтерии, материально ответственных лиц и т. п.). Оформлением личного дела в большинстве случаев занимается сотрудник отдела кадров, назначенный ответственным за их ведение и хранение. В обязанности данного работника обычно входит формирование личного дела, внесение в него различных записей, помещение и изъятие документов, заверка копий, ведение внутренней описи, периодическая проверка состояния дел и т. д.

Формирование личного дела начинается в момент приема сотрудника на работу и ведется в течение всей его трудовой деятельности в данной организации. Каждое личное дело должно храниться в отдельной папке, на титульном листе которой указываются:

• наименование организации;
• структурное подразделение, в котором сотрудник работает;
• номер личного дела;
• заголовок, то есть Ф. И. О. сотрудника;
• дата начала ведения личного дела (обычно это дата издания приказа о приеме на работу);
• дата окончания его ведения (дата издания приказа об увольнении);
• количество листов самого дела (лучше всего данную графу заполнять при сдаче лчного дела в архив);
• срок хранения (прописывается при закрытии личного дела).

Бланк титульного листа приведен в приложении 11 к Основным правилам работы архивов организаций (далее – Правила), одобренным решением Коллегии Росархива от 06.02.2002 г.

После заполнения титульного листа в папку помещаются все необходимые документы в хронологическом порядке. Однако очень часто возникают вопросы о порядке расположения документов, предъявляемых работником, и бумаг, фиксирующих факт трудоустройства. Связано это с тем, что на них практически всегда стоит одна и та же дата. В большинстве случаев данные бумаги располагаются следующим образом:

• личная карточка по форме Т-2;
• анкета;
• резюме;
• заявление о приеме на работу;
• копия приказа о приеме на работу;
• трудовой договор;
• копии паспорта, СНИЛС, ИНН (при наличии), документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу) и т. д.

Одновременно с личным делом начинают вести его внутреннюю опись, которая составляется на отдельном листе и прикрепляется к делу. Опись составляется для учета документов постоянного и временного (свыше 10 лет) хранения. Внутренняя опись заполняется на протяжении всего времени ведения личного дела. В ней фиксируются поступления новых документов либо изъятие бумаг (например, срок хранения закончился), а также замена подлинников копиями. Бланк внутренней описи приведен в приложении 10 к Правилам и должен содержать:

• номер и заголовок (Ф. И. О. работника) личного дела, к которому она составляется;
• графу «порядковый номер документа»;
• графу «индекс документа» (заполняется при наличии);
• графу «дата документа»;
• графу «заголовок документа»;
• графу «дата включения документа в личное дело»;
• графу «примечание», в которой обычно отражается изменение состава документов дела (изъятия, замена копиями и т. д.).

Все личные дела регистрируются в журнале учета. Форма журнала не утверждена, и его можно изготовить самостоятельно. Чаще всего в графы заносятся номера личных дел, даты их заведения, заголовки, даты закрытия.

Сколько хранить и где

В отделе кадров дела сотрудников хранятся в течение всего периода их работы в организации. Для этих целей оборудуется специальное место, исключающее доступ к ним третьих лиц, а также возможность их хищения или утраты. Обычно это запираемые сейфы или металлические шкафы либо помещения.

Когда сотрудник увольняется, личное дело закрывается. Дело закрыто — это значит, что оно полностью оформлено и прошито. При этом вначале подшивается внутренняя опись с итоговой записью о количестве в нем листов и документов, а в конце — лист-заверитель. На титульном листе указывается дата закрытия дела (дата увольнения) и срок его хранения, который начинает исчисляться с 1 января года, следующего за годом закрытия.

Личные дела уволенных хранятся в организации в течение трех лет, затем сдаются в архив. Если дело создано после 2003 года, то срок его хранения составляет 50 лет, если ранее — то 75 лет (ст. 22.1 ФЗ от 22.10.2004 № 125). Если в личном деле подшиты документы с разными максимальными сроками хранения, то все дело хранится по старшему сроку.

Является ли ваша организация оператором персональных данных?

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Уничтожение персональных данных: новые правила

Согласно Приказу Роскомнадзора от 28.10.2022 № 179, операторам ПД нужно подтверждать уничтожение сведений о персональных данных. В документе прописаны порядок и требования к данной процедуре.

Уничтожение персональных данных на бумажных носителях должны фиксироваться актом. В нём указывают категорию уничтожаемых ПД, Ф.И.О. и должности участников процедуры, их подписи, причины и способы уничтожения и т.п.

Если электронные персональные данные удаляют из хранилища информационной системы, то достаточно выгрузки журнала, где зарегистрированы все события. Если в выгрузке какие-либо сведения не будут указаны, их дополняют бумажным актом. В нём дописывают недостающую информацию. Срок хранения акта 3 года.

Похожие записи:

• Теперь за неоплаченные штрафы и алименты могут лишить прав. Это как?
• Какая пенсия в Газпроме в 2021 году?
• Законодательное Собрание Вологодской области