Меры по соблюдению конфиденциальности персональных данных

Как соблюсти требования о защите персональных данных

Персональные данные личности являются конфиденциальной информацией, и ее оборот осуществляется в рамках жесткой правовой процедуры. Принятый шесть лет назад Закон о персональных данных регулирует отношения, связанные с обработкой персональных данных. Однако большинство норм подзаконных актов в отношении требований по обработке персональных данных размыто и в них сложно ориентироваться. Расскажем о том, как привести деятельность компании в соответствие с данными требованиями на примере типичных ошибок, совершаемых операторами при работе с персональными данными.

Правовую основу регулирования отношений в сфере персональных данных составляет Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон) и принятые в соответствии с ним нормативные правовые акты.

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Субъектом персональных данных может быть только физическое лицо.

Таким образом, персональные данные — это любая информация, с помощью которой лицо можно определить (идентифицировать), например: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, биометрическая информация, данные о супруге, детях, других членах семьи, индивидуальные средства коммуникации (номер телефона, адрес электронной почты, персональный сайт или иной личный ресурс в Интернете, например блог или страница в социальной сети), сведения о событиях и обстоятельствах жизни лица, позволяющие его идентифицировать, в том числе аудио- и видеофайлы, и т.д. Перечень сведений, которые могут быть отнесены к персональным данным, является открытым.

Любые действия или операции с персональными данными называются обработкой персональных данных.

Государственный или муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, называются операторами персональных данных.

Закон обязывает оператора принимать меры по защите персональных данных, но при этом перечень таких мер он вправе определять сам. Закон называет лишь примерный перечень мер. К ним, в частности, отнесены:

1) назначение ответственного за организацию обработки персональных данных;

2) издание документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4) ознакомление работников с положениями законодательства РФ о персональных данных, в том числе с требованиями о защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) обучение указанных работников.

При этом оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях о защите персональных данных.

Оператор обязан представить указанные документы и локальные акты и (или) иным образом подтвердить принятие указанных мер по запросу Роскомнадзора.

Таким образом, можно выделить основные обязанности оператора:

  • принятие локального нормативного акта, регулирующего вопросы защиты персональных данных;
  • назначение работника, ответственного за организацию обработки персональных данных.

Также до начала обработки персональных данных оператор обязан направить уведомление в территориальное отделение Роскомнадзора по месту своего нахождения. Форма бланка и рекомендации по его заполнению утверждены приказом Роскомнадзора от 19.08.2011 № 706.

Оператор не обязан уведомлять Роскомнадзор в случаях, когда персональные данные:

1) обрабатываются в соответствии с трудовым законодательством;

2) получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) сделаны субъектом персональных данных общедоступными;

4) включают в себя только фамилии, имена и отчества субъектов персональных данных;

5) необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

6) обрабатываются без использования средств автоматизации.

Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит сведения об операторе в реестр операторов. Сведения, содержащиеся в этом реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

Операторы, осуществлявшие обработку персональных данных до 1 июля 2011 г., обязаны не позднее 1 января 2013 г. представить в Роскомнадзор следующие сведения:

  • правовое основание обработки персональных данных;
  • фамилию, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями о защите персональных данных, установленными Правительством РФ.

Согласие на обработку персональных данных

По общему правилу обработка персональных данных осуществляется с согласия субъекта персональных данных. Согласие на обработку может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.

Случаи, когда согласия не требуется, предусмотрены в ст. 6 Закона.

Обязанность представить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в любой момент.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя данные, указанные в п. 4 ст. 9 Закона.

В Законе статья об ответственности сформулирована лаконично: «Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность».

В настоящее время меры ответственности за нарушение законодательства о защите персональных данных разбросаны по различным отраслям законодательства — административному, уголовному, гражданскому, трудовому.

Наиболее часто применяется административная ответственность за нарушение ст. 13.11 КоАП РФ. В качестве типичных можно выделить следующие нарушения:

  • обработку персональных данных без согласия субъекта персональных данных;
  • несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Закона о персональных данных;
  • нарушение требований конфиденциальности при обработке персональных данных.

Ответственность наступает в виде предупреждения или наложения административного штрафа на на должностных лиц — от 500 до 1000 руб., на юридических лиц — от 5000 до 10 000 руб.

Однако есть предложение увеличить размер штрафов (соответствующий законопроект проходит сейчас согласовательные процедуры). Например, штраф за нарушение порядка обработки персональных данных для юридических лиц — до 500 000 руб.

Моральный вред, причиненный субъекту персональных данных, подлежит возмещению в соответствии с ГК РФ. Его возмещение осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Также виновные в нарушении требований законодательства несут дисциплинарную и уголовную ответственность. Однако привлечение к уголовной ответственности является крайне редким явлением.

Советы, как привести деятельность компании в соответствие с требованиями законодательства

Сотрудники Роскомнадзора уделяют большое внимание документам, которые закрепляют политику в отношении персональных данных, вопросы их обработки и защиты. С одной стороны, в нормативных актах установлены определенные требования к оформлению и содержанию этих документов, с другой — эти требования размыты по многочисленным нормативным актам, поэтому операторам сложно в них сориентироваться.

Большинство замечаний Роскомнадзора относится к тому, что необходимые документы, касающиеся персональных данных, часто носят формальный характер, повторяя содержание статей Закона о персональных данных. В разъяснениях Роскомнадзор выделяет типичные ошибки, которые допускают операторы:

1. Не указываются конкретные нормы Закона, на основании которых оператор ведет обработку персональных данных. Рос­комнадзор говорит о том, что в документах следует четко перечислить соответствующие пункты и статьи конкретных нормативных актов, регламентирующих осуществляемый вид деятельности оператора и касающихся обработки персональных данных.

2. Под целью обработки персональных данных операторы ошибочно указывают саму обработку персональных данных или действия, совершаемые с персональными данными (сбор, хранение, использование и др.). Однако здесь следует перечислить конкретную цель обработки персональных данных.

3. Категории персональных данных указываются не полностью, часто вместо закрытого перечня операторы пишут фразы «и др.», «и т.п.», «другая информация». Необходимо перечислять все обрабатываемые категории персональных данных. Перечень должен быть закрытым.

4. Перечисляются лишь общие характеристики используемых оператором способов обработки персональных данных, а также порядок передачи информации. Однако оператору следует указать лишь те из них, которые он фактически совершает, например сбор, систематизацию, хранение, уточнение, использование и передачу.

5. Не указываются конкретные меры, которые оператор обязуется осуществлять при обработке персональных данных и для обеспечения их безопасности.

6. Отсутствует список лиц, имеющих доступ к персональным данным, обрабатываемым в информационной системе. Такой список следует утвердить приказом оператора.

Это наиболее типичные ошибки операторов, хотя Роскомнадзор отмечает и другие. Например, отсутствие листа ознакомления работников оператора под личную подпись с Положением о защите персональных данных, а также документа, подтверждающего факт информирования лиц о том, что они осуществляют обработку персональных данных без использования средств информатизации. Подобный документ должен содержать категории персональных данных, а также особенности и правила осуществления обработки.

Оформляем образец обязательства о неразглашении персональных данных работников

На уровне документов взаимоотношения субъекта и оператора выглядят так: субъект дает согласие на обработку персональных данных, а оператор принимает на себя обязательство о неразглашении. Данная схема распространяется и на трудовые отношения, в которых субъектом выступает работник, а оператором — работодатель.

Для чего нужен и когда пишется

Документ предназначен для того, чтобы работодатель мог обозначить ответственность и при выявлении нарушений привлечь к ней работников, которые имеют доступ к личным сведениям коллег. Количество людей, в чьи обязанности входит обработка и неразглашение персональных данных, может различаться. Если в малых организациях все ограничивается лишь главным бухгалтером, то в средних и крупных компаниях сотрудники, работающие с личной информацией, числятся в структурных подразделениях:

  • бухгалтерия;
  • отдел персонала;
  • отдел информационных технологий;
  • отдел продаж или отдел обслуживания (если речь идет об информации о клиентах).

Список может быть расширен в зависимости от специфики и структуры организации. Таким образом, в пакет типовых кадровых документов работодателя должна входить форма обязательства о неразглашении персональных данных. Оптимальный срок для подписания этого документа ответственными лицами — в момент приема на работу.

Что по этому поводу говорит закон

Статья о неразглашении персональных данных третьим лицам (ст. 7) содержится в Федеральном законе от 27.06.2006 № 152-ФЗ. Однако просто существование закона «О защите персональных данных» еще не дает права работодателю по умолчанию накладывать ответственность на сотрудников, имеющих доступ к личным сведениям. Необходимость оформления обязательства о неразглашении информации продиктована Постановлением Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». В соответствии с пунктом 6 Постановления, «лица, осуществляющие обработку … данных … должны быть проинформированы о факте обработки ими персональных данных, … а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами…». Кроме того, обязательной к исполнению мерой по защите личной информации является назначение приказом лиц, ответственных за обработку (ч. 1 ст. 22.1 закона № 152-ФЗ).

Образец обязательства о неразглашении персональных данных работников

Образец приказа о неразглашении персональных данных

Соглашение о неразглашении персональных данных (образец 2019 года)

Кроме обязательства о неразглашении, работодатель, в соответствии со статьей 8 ТК РФ , может заключать с профильным персоналом соглашение о неразглашении персональных данных работников, образец которого отличается от простого обязательства тем, что в нем указаны обе стороны процесса — как работодатель, так и сотрудник.

Образец соглашения о нераспространении персональных данных

Необходимость такого соглашения обусловлена требованиями, изложенными в пункте 7 статьи 86 ТК РФ , — на администрацию возложена обязанность по защите личных данных сотрудников от незаконного использования, утраты или доступа к ним третьих лиц. Следовательно, сотрудники, которые имеют доступ к банку данных других работников, обязаны хранить эти сведения в секрете. А поскольку эта информация известна в связи с выполнением ими трудовых обязанностей, то работодатель, в соответствии со статьей 8 ТК РФ , имеет право заключить с такими работниками соглашение о неразглашении.

При этом привлечь к ответственности работников, которые разгласили такую информацию, можно, только если она стала известна им в связи с их работой и они обязались не разглашать такие сведения (пункт 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 № 2). Именно поэтому работодатель должен оформить с работниками, которые в силу своих должностных обязанностей имеют доступ к личным данным других работников, соответствующий юридически значимый документ.

Ответственность за нарушение

Ст. 24 Федерального закона № 152-ФЗ гласит, что нарушение правил обращения с личной информацией влечет за собой ответственность, установленную законодательством Российской Федерации. Характер ответственности конкретизируется несколькими статьями КоАП РФ. Например, в статье 13.11 КоАП РФ за обработку личных данных, несовместимую с целями сбора, зафиксировано наказание в виде штрафов от 1000 до 3000 рублей — для граждан, от 5000 до 10 000 рублей — для должностных лиц и от 30 000 до 50 000 рублей — для юридических лиц. А за разглашение персональных данных, в соответствии со статьей 13.14 КоАП РФ, налагаются штрафы на виновных граждан в размере от 500 до 1000 рублей, на должностных лиц — от 4000 до 5000 рублей.

Политика конфиденциальности персональных данных

Настоящая Политика конфиденциальности персональных данных (далее – Политика конфиденциальности) действует в отношении всей информации, которую данный сайт, на котором размещен текст этой Политики конфиденциальности, может получить о Пользователе, а также любых программ и продуктов, размещенных на нем.

1. Определение терминов

1.1 В настоящей Политике конфиденциальности используются следующие термины:

1.1.1. «Администрация сайта» – уполномоченные сотрудники на управления сайтом, действующие от его имени, которые организуют и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.1.2. «Персональные данные» — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.1.3. «Обработка персональных данных» — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.1.4. «Конфиденциальность персональных данных» — обязательное для соблюдения Администрацией сайта требование не допускать их умышленного распространения без согласия субъекта персональных данных или наличия иного законного основания.

1.1.5. «Пользователь сайта (далее Пользователь)» – лицо, имеющее доступ к сайту, посредством сети Интернет и использующее данный сайт для своих целей.

1.1.6. «Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP -запросе при попытке открыть страницу соответствующего сайта.

1.1.7. « IP -адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP .

2. Общие положения

2.1. Использование Пользователем сайта означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.

2.2. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта.

2.3.Настоящая Политика конфиденциальности применяется только к данному сайту. Администрация сайта не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на данном сайте.

2.4. Администрация сайта не проверяет достоверность персональных данных, предоставляемых Пользователем сайта.

3. Предмет политики конфиденциальности

3.1. Настоящая Политика конфиденциальности устанавливает обязательства Администрации сайта по умышленному неразглашению персональных данных, которые Пользователь предоставляет по разнообразным запросам Администрации сайта (например, при регистрации на сайте, оформлении заказа, подписки на уведомления и т.п).

3.2. Персональные данные, разрешённые к обработке в рамках настоящей Политики конфиденциальности, предоставляются Пользователем путём заполнения специальных форм на Сайте и обычно включают в себя следующую информацию:

3.2.1. фамилию, имя, отчество Пользователя;

3.2.2. контактный телефон Пользователя;

3.2.3. адрес электронной почты (e-mail);

3.2.4. место жительство Пользователя и другие данные.

3.3. Администрация сайта также принимает усилия по защите Персональных данных, которые автоматически передаются в процессе посещения страниц сайта:

  • IP адрес;
  • информация из cookies;
  • информация о браузере (или иной программе, которая осуществляет доступ к сайту);
  • время доступа;
  • посещенные адреса страниц;
  • реферер (адрес предыдущей страницы) и т.п.

3.3.1. Отключение cookies может повлечь невозможность доступа к сайту.

3.3.2. Сайт осуществляет сбор статистики об IP -адресах своих посетителей. Данная информация используется с целью выявления и решения технических проблем, для контроля корректности проводимых операций.

3.4. Любая иная персональная информация неоговоренная выше (используемые браузеры и операционные системы и т.д.) не подлежит умышленному разглашению, за исключением случаев, предусмотренных в п.п. 5.2. и 5.3. настоящей Политики конфиденциальности.

4. Цели сбора персональной информации пользователя

4.1. Персональные данные Пользователя Администрация сайта может использовать в целях:

4.1.1. Идентификации Пользователя, зарегистрированного на сайте.

4.1.2. Предоставления Пользователю доступа к персонализированным ресурсам сайта.

4.1.3. Установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования сайта, оказания услуг, обработка запросов и заявок от Пользователя.

4.1.4. Определения места нахождения Пользователя для обеспечения безопасности, предотвращения мошенничества.

4.1.5. Подтверждения достоверности и полноты персональных данных, предоставленных Пользователем.

4.1.6. Предоставления Пользователю эффективной клиентской и технической поддержки при возникновении проблем связанных с использованием сайта.

5. Способы и сроки обработки персональной информации

5.1. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.

5.2. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти только по основаниям и в порядке, установленным действующим законодательством.

6. Обязательства сторон

6.1. Пользователь обязуется:

6.1.1. Предоставить корректную и правдивую информацию о персональных данных, необходимую для пользования сайтом.

6.1.2. Обновить или дополнить предоставленную информацию о персональных данных в случае изменения данной информации.

6.1.3. Принимать меры для защиты доступа к своим конфиденциальным данным, хранящимся на сайте.

6.2. Администрация сайта обязуется:

6.2.1. Использовать полученную информацию исключительно для целей, указанных в п. 4 настоящей Политики конфиденциальности.

6.2.2. Не разглашать персональных данных Пользователя, за исключением п. 5.2. настоящей Политики Конфиденциальности.

6.2.3. Осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.

7. Ответственность сторон

7.1. Администрация сайта несёт ответственность за умышленное разглашение Персональных данных Пользователя в соответствии с действующим законодательством, за исключением случаев, предусмотренных п.п. 5.2., и 7.2. настоящей Политики Конфиденциальности.

7.2. В случае утраты или разглашения Персональных данных Администрация сайта не несёт ответственность, если данная конфиденциальная информация:

7.2.1. Стала публичным достоянием до её утраты или разглашения.

7.2.2. Была получена от третьей стороны до момента её получения Администрацией сайта.

7.2.3. Была получена третьими лицами путем несанкционированного доступа к файлам сайта.

7.2.4. Была разглашена с согласия Пользователя.

7.3. Пользователь несет ответственность за правомерность, корректность и правдивость предоставленной Персональных данных в соответствии с действующим законодательством.

8. Разрешение споров

8.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем сайта и Администрацией сайта, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).

8.2 .Получатель претензии в течение 30 календарных дней со дня получения претензии, письменно уведомляет заявителя претензии о результатах рассмотрения претензии.

8.3. При не достижении соглашения спор будет передан на рассмотрение в судебный орган в соответствии с действующим законодательством.

8.4. К настоящей Политике конфиденциальности и отношениям между Пользователем и Администрацией сайта применяется действующее законодательство.

9. Дополнительные условия

9.1. Администрация сайта вправе вносить изменения в настоящую Политику конфиденциальности без согласия Пользователя.

9.2. Новая Политика конфиденциальности вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики конфиденциальности.

Меры по защите персональных данных

Любое юридическое лицо в силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно.

Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.

К мерам по внутренней защите персональных данных относятся следующие действия:

• ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е. сотрудников отделов кадров или ответственных за кадровое делопроизвод-
ство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;

• назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;

• утверждение перечня документов, содержащих персональные данные;

• издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;

• ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;

• рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;

• утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;

• утверждение порядка уничтожения информации;

• выявление и устранение нарушений требований по защите персональных данных;

• проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.

Среди мер по внешней защите персональных данных следует выделить такие:

• введение пропускного режима, порядка приема и учета посетителей;

• внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.

Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:

• общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;

• список лиц, обрабатывающих персональные данные;

• приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и ее работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения персонала положения законодательства о персональных данных, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов;

• положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации – паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);

• локальный акт, устанавливающий процедуры,направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений. Так, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.

Какие контрольные органы вправе затребовать персональные данные

Суды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.

Сколько хранить?

Режим конфиденциальности персональных данных снимается в случаях их обезличивания или по истечении 75-летнего срока их хранения, если иное не определено законом.

Согласно ФЗ-152, персональные данные должны быть уничтожены оператором по достижении цели их обработки. А, например, первичные документы по кадровому учету и заработной плате необходимо хранить в течение 75 лет. Но они должны находиться в архиве, а ФЗ-152 на архив не распространяется в соответствии с законом об архиве. Таким образом, после сдачи документов в архив организация уже не может хранить эти сведения у себя.

Что касается больничных листов, то это касается субъекта. К примеру, если работник уволился, заново никуда устроиться не успел и заболел, то больничный рассчитывается ему на основании дохода по последнему месту работы. А в организации в соответствии с налоговым законодательством обязаны хранить все финансовые документы за пять прошедших лет для налоговой проверки. Причем отсчет срока хранения ведется от начала нового финансового года или даты передачи дела в архив, а это тоже обычно происходит в конце года. И кстати, до пяти лет допускается хранение документов в организации, без передачи их в архив.

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector