Срок хранения персональных данных

Вся информация на в статье на тему: "Срок хранения персональных данных". Полное описание собранное из разных авторитетных источников. Если возникнут вопросы, вы всегда можете обратиться к дежурному консультанту.

Суд: банки обязаны хранить персональные данные своих клиентов не менее 5 лет, даже если они отозвали свое согласие

AlexLipa / Depositphotos.com

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных (ч. 2 ст. 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», далее – Закон № 152-ФЗ). Однако оператор вправе продолжить обработку сведений о лице без его согласия в случаях, когда это необходимо для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, оператора или третьих лиц или прямо закреплены в законе (п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона № 152-ФЗ).

Так, по одному делу, где ответчиком выступил банк, персональные данные по требованию суда изъяты не были (апелляционное определение Московского городского суда от 14 июня 2019 года по делу № 33-25479). Гражданин обратился в банк с заявлением на открытие счета и получение банковской карты, в чем ему отказали. После этого он написал заявление об отзыве согласия на обработку его персональных данных и уничтожении их по соответствующему акту, который ему не был предоставлен. В связи с этим он обратился в суд с требованием к банку прекратить правоотношения между ними, восстановить положение дел, существовавшее до момента обращения в банк об открытии счетов, признать недействительными и отозвать сведения об истце, направленные в Росфинмониторинг.

Районный суд, а позднее, и апелляционный суд, куда обратился гражданин, отказали ему в удовлетворении исковых требований, указав на то, что хранение персональных данных должно осуществляться в форме, позволяющей определить их владельца, не дольше, чем этого требуют цели обработки полученной информации, если срок хранения сведений не установлен. Суды отметили, что обрабатываемая информация подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если не предусмотрено иное. При этом организации, осуществляющие операции с денежными средствами или иным имуществом, обязаны хранить документы, содержащие сведения для идентификации личности, не менее пяти лет (п. 4 ст. 7 Федерального закона от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»). В связи с этим суды отметили, что банк должен хранить персональные данные истца в течение не менее 5 лет со дня прекращения отношений, а также в предусмотренных законом случаях предоставлять информацию и документы уполномоченному органу по его запросу. Суды также напомнили, что банк обязан предоставлять информацию и документы, по запросу уполномоченного органа и это не будет являться нарушением служебной, банковской или коммерческой тайны.

При этом в случае отзыва согласия субъектом персональных данных, если не предусмотрено иное, оператор обязан прекратить их обработку не позднее 30 дней с даты поступления указанного отзыва, а значит клиенту банка не должны поступать звонки с предложениями услуг, однако суды этот вопрос не уточнили (п. 5 ст. 21 Закона № 152-ФЗ).

Источник: http://www.garant.ru/news/1290685/

Раздел III. Сроки обработки и хранения персональных данных

Раздел III
Сроки обработки и хранения персональных данных

16. Общий срок обработки персональных данных определяется периодом времени, в течение которого оператор осуществляет действия (операции) в отношении персональных данных, обусловленные заявленными целями их обработки.

Обработка персональных данных осуществляется с момента их получения оператором и прекращается:

1) по достижении целей обработки персональных данных;

2) в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.

17. Для персональных данных лиц, указанных в подпункте 3 пункта 8 настоящих Правил, устанавливаются следующие сроки хранения:

1) персональные данные, содержащиеся в распоряжениях по личному составу (о приеме, о переводе, об увольнении, о надбавках), а также в распоряжениях о поощрениях, материальной помощи подлежат хранению в Департаменте в установленном законодательством Российской Федерации порядке;

2) персональные данные, содержащиеся в распоряжениях о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях лиц, указанных в подпункте 3 пункта 8 настоящих Правил, подлежат хранению в Департаменте в течение пяти лет с последующим уничтожением.

18. Сроки обработки и хранения персональных данных определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.

19. Персональные данные граждан, обратившихся в Департамент лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.

20. Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения подлинников документов, содержащих такие персональные данные, на бумажном носителе.

21. Срок хранения персональных данных, внесенных в автоматизированные информационные системы, бумажные носители которых отсутствуют, определяется лицом, ответственным за организацию обработки персональных данных в Департаменте.

22. Обработка персональных данных осуществляется при соблюдении принципа раздельности их обработки.

Персональные данные при их обработке обособляются от иной информации, в частности путем фиксации их в отдельных файлах, на отдельных материальных носителях.

Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.

23. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных Правилами.

24. Контроль за хранением и использованием материальных носителей персональных данных, исключающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, которые хранятся в структурных подразделениях Департамента, осуществляют руководители структурных подразделений Департамента, работники которых замещают должности, замещение которых предусматривает обработку персональных данных или доступ к персональным данным.

Читайте так же:  Удержания в возмещение материального ущерба
>
Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
Содержание
Приказ Департамента природных ресурсов, экологии и агропромышленного комплекса Ненецкого автономного округа от 19 июня 2017.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/44008686/59024ce80075e0ec41e6a94e1d33ae69/

Статья 87. Хранение и использование персональных данных работников

Статья 87. Хранение и использование персональных данных работников

1. Федеральный закон «О персональных данных» устанавливает требование, которому должно соответствовать хранение персональных данных, а именно: хранение необходимо осуществлять в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении (ст. 5).

В случае если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке (ст. 6 Федерального закона «О персональных данных»).

2. В Квалификационном справочнике должностей руководителей, специалистов и других служащих, утвержденном постановлением Минтруда России от 21 августа 1998 г. N 37*(116), в разделе «Должностные обязанности» квалификационных характеристик ряда должностей руководителей и специалистов, предусмотрено выполнение трудовых обязанностей на основе персональных данных работников или с их использованием.

К этим должностям относятся:

— главный специалист по защите информации (руководит выполнением работ по комплексной защите информации; участвует в работе по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации; выполняет весь комплекс работ, связанных с контролем и защитой информации; обеспечивает контроль за соблюдением действующего законодательства при решении вопросов, касающихся защиты информации; координирует деятельность подразделений и специалистов по защите информации в организации);

— заместитель директора по управлению персоналом (организует управление формированием, использованием и развитием персонала организации; возглавляет работу по формированию кадровой политики, определению ее основных направлений; организует разработку и реализацию комплекса планов и программ по работе с персоналом с целью привлечения и закрепления на предприятии работников требуемых специальностей и квалификации; проводит работу по формированию и подготовке резерва кадров для выдвижения на руководящие должности и т.д.);

— менеджер по персоналу (определяет потребность в персонале, изучает рынок труда с целью определения возможных источников обеспечения необходимыми кадрами; осуществляет подбор кадров, проводит собеседования с нанимающимися на работу, в том числе с выпускниками учебных заведений, с целью комплектования штата работников; организует обучение персонала, координирует работу по повышению квалификации сотрудников и развитию их деловой карьеры; организует проведение оценки результатов трудовой деятельности работников, аттестаций, конкурсов на замещение вакантных должностей; совместно с руководителями структурных подразделений участвует в принятии решений по вопросам найма, перевода, продвижения по службе, понижения в должности, наложения административных взысканий, а также увольнения работников; разрабатывает систему оценки деловых и личностных качеств работников, мотивации их должностного роста; принимает участие в разрешении трудовых споров и конфликтов; составляет и оформляет трудовые договоры; ведет личные дела работников и другую кадровую документацию);

— начальник отдела кадров (возглавляет работу по комплектованию организации кадрами рабочих и служащих требуемых профессий, специальностей и квалификации в соответствии с целями, стратегией и профилем организации, формированию и ведению банка данных о количественном и качественном составе кадров, их развитии и движении; принимает участие в разработке кадровой политики и кадровой стратегии предприятия; осуществляет работу по подбору, отбору и расстановке кадров на основе оценки их квалификации, личных и деловых качеств; осуществляет планомерную работу по созданию резерва для выдвижения работников; организует проведение аттестации работников, ее информационное обеспечение, принимает участие в анализе результатов аттестации; осуществляет хранение и заполнение трудовых книжек и ведение установленной документации по кадрам; проводит работу по созданию банка данных о персонале предприятия, его своевременному пополнению, оперативному предоставлению необходимой информации пользователям и т.д.), а также главный бухгалтер, начальник отдела по подготовке кадров и др.

Среди должностей специалистов назовем бухгалтера, документоведа, инженера по защите информации, инженера по подготовке кадров, инженера по кадрам, инспектора по кадрам, специалиста по защите информации, специалиста по кадрам, техника по защите информации, экономиста по труду и др.

Должностные обязанности ряда технических исполнителей фактически предусматривают (в определенных случаях) работу с персональными данными работников. Например, в должностных обязанностях секретаря руководителя предусмотрено принимать документы и личные заявления на подпись руководителя предприятия.

Включение функций, связанных с персональными данными, в должностные обязанности работников определяет соответствующее право работодателя, разрабатывая на их основе должностные инструкции, локальные нормативные акты (правила внутреннего трудового распорядка, коллективный договор, положение о персонале и др.), а также трудовые договоры, предусмотреть положения о порядке защиты персональных данных работников организации. В частности, он устанавливает круг лиц, имеющих право на получение персональных данных работников, основания их получения, условия, обеспечивающие сохранность передаваемых данных, сроки пользования этой информацией.

3. На работодателя возлагается обязанность обеспечить хранение первичной учетной документации по учету труда и его оплаты в организации, к которой относятся документы по учету кадров, документы по учету использования рабочего времени и расчетов с персоналом по оплате труда. Унифицированные формы первичной учетной документации по учету труда и его оплаты утверждены постановлением Госкомстата России от 5 января 2004 г. N 1 (см. п. 8 комментария ст. 85).

4. Трудовые книжки и дубликаты трудовых книжек, не полученные работниками при увольнении, в случае смерти работника — его ближайшими родственниками, хранятся до востребования у работодателя (п. 43 Правил ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей). Согласно Перечню типовых документов, образующихся в деятельности госкомитетов, министерств, ведомств и других учреждений, организаций, предприятий, с указанием сроков хранения, утвержденному Главархивом СССР 15 августа 1988 г., не востребованные трудовые книжки хранятся не менее 50 лет*(117).

Читайте так же:  Восстановление организма после выкидыша на раннем сроке

5. В распоряжении Правительства РФ от 21 марта 1994 г. N 358-р «Об обеспечении сохранности документов по личному составу»*(118) учредителям вновь образующихся коммерческих и некоммерческих организаций рекомендовано включать в свои учредительные документы правила учета и сохранности документов по личному составу, а также своевременной передачи их на государственное хранение при реорганизации или ликвидации юридического лица.

6. Статьей 8 Федерального закона «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» установлено, что срок хранения органами Пенсионного фонда РФ сведений, составляющих содержание общей части индивидуального лицевого счета застрахованного лица, представленных в виде документов в письменной форме, а также документов в электронной форме, юридическая сила которых подтверждена электронной цифровой подписью в соответствии с законодательством РФ, содержащих сведения о страховых взносах и страховом стаже и представляемых в Пенсионный фонд РФ работодателями для целей индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования, составляет не менее шести лет.

Срок хранения в вышеуказанных формах документов, содержащих иные сведения, составляет не менее трех лет. Уничтожение документов индивидуального (персонифицированного) учета, содержащих сведения о страховых взносах и страховом стаже, по истечении установленного срока их хранения производится после ознакомления застрахованного лица (работника) со сведениями, содержащимися в его индивидуальном лицевом счете за соответствующий период, и вручения ему указанных сведений.

7. Порядок хранения персональных данных, личных дел гражданских служащих установлен Федеральным законом «О системе государственной службы Российской Федерации», Федеральным законом «О государственной гражданской службе Российской Федерации» и Указом Президента РФ «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела».

8. Трудовым кодексом также установлено, что второй экземпляр акта о несчастном случае на производстве, акта о расследовании группового несчастного случая на производстве, тяжелого несчастного случая на производстве, несчастного случая на производстве со смертельным исходом вместе с копиями материалов расследования хранится в течение 45 лет работодателем (его представителем), у которого произошел данный несчастный случай (ч. 6 ст. 230, ч. 2 ст. 230.1).

Акт о случае профессионального заболевания вместе с материалами расследования хранится в течение 75 лет в центре государственного санитарно-эпидемиологического надзора и в организации, где проводилось расследование этого случая профессионального заболевания. Если организация ликвидируется, акт передают для хранения в центр государственного санитарно-эпидемиологического надзора (п. 33 Положения о расследовании и учете профессиональных заболеваний, утвержденного постановлением Правительства РФ от 15 декабря 2000 г. N 967*(119)).

9. Наличие трудовых отношений требует от работодателя (организации, индивидуального предпринимателя) обеспечения сохранности персональных данных работника, предоставляемых им как при заключении трудового договора, так и в процессе трудовой деятельности. Это определяет необходимость разработки и принятия локального нормативного акта. Работодатель принимает такой акт без учета мнения представительного органа работников.

Локальный нормативный акт, посвященный защите персональных данных работников в организации, разрабатывается работодателем на основе положений законодательства с учетом специфики деятельности организации.

В локальном нормативном акте о защите персональных данных работников организации закрепляются положения:

— о персональных данных работников, необходимых работодателю в связи с трудовыми отношениями;

— о круге должностных лиц, имеющих право получить у работника информацию, относящуюся к его персональным данным;

— о хранении персональных данных на бумажных и электронных носителях в предназначенном для этого помещении;

— об основных условиях проведения обработки персональных данных работников;

— о круге должностных лиц, имеющих право на доступ к персональным данным, которые необходимы им для выполнения своих должностных обязанностей, порядок их предоставления;

— о должностном лице, ответственном за организацию и хранение персональных данных работников;

— о должностном лице, осуществляющем контроль за хранением персональных данных работников;

— о передаче персональных данных работников;

— о правах работника, обеспечивающих защиту персональных данных, хранящихся у работодателя;

— об обязанностях работника в целях обеспечения достоверности его персональных данных;

— об ответственности за нарушение норм, регулирующих обработку и защиту персональных данных работников, и др.

Источник: http://base.garant.ru/59604336/79e0d49c57eaf00b360953ced8a4e94f/

Срок хранения документов, содержащих персональные данные в медицинском центре

Вопрос: Какие сроки хранения документов, содержащих персональные данные в медицинском центре?

Руководствуясь п.7 ст.5 закона от 27.07.2006 № 152-ФЗ, срок хранения персональных данных пациента может быть установлен договором между медицинским учреждением и пациентом, если это не будет противоречить федеральному законодательству.

Обоснование ответа:

Бизнес требует навыков не только профессиональных, но предпринимательских и управленческих? Приходите в Клуб деловых игр и перговоров, прокачайте навыки руководителя! Подробнее о Переговорном клубе…

Для регистрации нажмите «заказать услугу»:

Согласно п.7 ст.5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. При этом, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Персональные данные —

любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Персональные данные могут использоваться работодателем при трудовых отношениях с работником, Пенсионным фондом, медицинскими учреждениями, страховыми компаниями, детскими учреждениями, коммунальными хозяйствами, транспортными компаниями и прочими организациями и учреждениями, работающие физическими лицами. В каждом конкретном случае необходимо обращаться к законам, регулирующие определенный вид деятельности, в отношении того на кого возложена обязанность по порядку хранения и использованию персональных данных.

Читайте так же:  Сроки исковой давности относятся
Видео (кликните для воспроизведения).

Так, ст. 86, 87 Трудового кодекса РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса РФ и иных федеральных законов. Соответствующие нормы необходимо закрепить в локальном нормативном акте Общества о персональных данных, где нужно указать в том числе форму (на бумажном носителе или в электронном виде), сроки и место хранения персональных данных.

Сроки хранения документов, в том числе содержащие персональные данные, определены Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным приказом Минкультуры РФ от 25.08.2010 № 558.

В частности, личные дела работников, подлинные личные документы (трудовые книжки, дипломы, аттестаты, удостоверения, свидетельства), трудовые договоры (служебные контракты), трудовые соглашения, договоры подряда, не вошедшие в состав личных дел, а также личные карточки работников — 75 лет. (См. Об изменении в кадровом учете в 2017 году)

Расчетные (расчетно-платежные) ведомости и документы к ним, расчетные листы на выдачу заработной платы, пособий, гонораров, материальной помощи и других выплат, заявления на получение стандартных налоговых вычетов по НДФЛ, справки по форме 2 -НДФЛ — 5 лет. (См. Об особенностях заполнения деклараций по НДФЛ

В отношении срока хранения персональных данных медицинскими учреждениями

, нужно руководствоваться законодательством, регулирующего деятельность в области здравоохранения. Согласно пп.12 п.1 ст.79 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» обязанность по хранению медицинской документации возложена на медицинскую организацию. Закон термина «медицинская документация» не раскрывает.

Поэтому для определения сроков хранения информации о персональных данных, можно руководствоваться приказом Минздрава России от 22.01.2001 № 12 «О введении в действие отраслевого стандарта «термины и определения системы стандартизации в здравоохранении». В соответствии с данным приказом медицинскими документами являются специальные формы документации, ведущиеся медицинским персоналом, в котором регламентируются действия, связанные с оказанием медицинских услуг. Кроме того, формы медицинских документов регламентированы приказ ом Министерства здравоохранения СССР от 04.10.1980 № 1030 (утратившим силу в 1998 году), но применяющей в соответствии с рекомендациями Минздравсоцразвития России (письмо от 30.10.2009 № 14-6/242888). С 2015 года начал действовать новый Приказ Минздрава России от 15.12.2014 № 834н «Об утверждении унифицированных форм медицинской документации, используемых в медицинских организациях, оказывающих медицинскую помощь в амбулаторных условиях, и порядков по их заполнению». К таким документам относятся медицинская карта пациента, получающего медицинскую помощь в амбулаторных условиях; медицинская карта стационарного больного; различного рода медицинские справки, выписки из амбулаторной карты, медицинской карты и другие.

Сроки хранения медицинской документации регламентированы указанным выше приказом Минкультуры РФ, а так же приказом Приказ Министерства здравоохранения СССР от 04.10.1980 № 1030. Например, медицинские карты амбулаторных больных 5 лет, медицинские карты стационарных больных- 25 лет, а различные справки – 3 года.

Источник: http://www.oskord-audit.ru/articles/srok-hraneniya-dokumentov-soderzhashchih-personalnye-dannye-v-medicinskom-centre

Сроки хранения персональных данных согласно европейскому законодательству о защите персональных данных GDPR

Данная заметка работающего в Великобритании румынского специалиста Лючии Стефан (Lucia Stefan – на фото), в настоящее время – владельца компании Archiva Ltd, была опубликована 19 декабря 2016 года в социальной сети LinkedIn.

Просматривая недавно опубликованное 280-страничное руководство по практическому исполнению европейского законодательства о защите персональных данных (General Data Protection Regulation, GDPR), я была потрясена, обнаружив, что очень важный элемент GDPR был выхолощен авторами этого документа. Цитирую в точности, как это сказано в тексте: «Говоря по-простому: если данные Вам больше не нужны, избавьтесь от них», а затем «. достаточно просто определить, когда данные больше не требуются».

Достаточно просто определить, когда данные больше не требуются, и избавиться от них?! В самом деле?

Подозреваю, что авторы руководства никогда не работали в реальном проекте, устанавливая, например, соответствующие британскому Закону о защите персональных данных (Data Protection Act 1998, DPA) сроки хранения для персональных данных, собранных финансовыми учреждениями (страховыми компаниями и банками). Иначе они бы знали, что установление даты, после которой персональные данные больше не требуются, уж никак не является простой задачей, а уничтожению препятствуют ограничения, связанные с особенностями технологий.

По сравнению с британским Законом о защите персональных данных (DPA), закон Евросоюза об общих требованиях к защите персональных данных (GDPR) мало что меняет с точки зрения сроков хранения. 5-й принцип DPA стал пунктом (е) статьи 5 GDPR, согласно которому «. (данные) хранятся в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это необходимо для целей, в которых обрабатываются персональные данные» (см. http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN ). Обязательный минимальный срок хранения также упоминается в правиле 39 и статье 25. В обоих случаях сказано, что период, в течение которого можно хранить персональные данные, должен быть «сведён к строгому минимуму», и что системы по умолчанию должны проектироваться таким образом, чтобы минимизировать срок хранения персональных данных. На деле это строгий минимум фактически становится максимальным сроком хранения , допускаемым в отношении персональных данных.


Но это еще не все. В GDPR вводится принцип подотчетности , в соответствии с которым организации обязаны документировать процессы управления персональными данными на протяжении всего их жизненного цикла, от создания до уничтожения. Документация принимает форму политик, процессов, перечней и указаний по срокам хранения и действиям по их истечении, а также других важных документов. Для регламентации хранения требуется не только указать срок хранения и меры по уничтожению, но и обосновать каждое принятое решение о сроках хранения и порядке уничтожения. Контролирующий орган — Управления уполномоченного по информации (Information Commissioner’s Office, ICO) очень ясно даёт понять, что вся эта документация необходима для аудита и расследований: «Вам может быть предъявлено требование о представлении этих документов соответствующему надзорному органу для целей расследования» (см. https://ico.org.uk/for-organisations/data-protection-reform/overview-of-the-gdpr/accountability-and-governance/ ).

Читайте так же:  Оплачиваются ли часы по повестке в суд

Возвращаясь к срокам хранения, следует отметить, что принятие решения о максимальном сроке хранения – непростое дело. Сроки хранения персональных данных определяются не одним только законом GDPR, существуют и иные законы и нормативные акты (например, налоговое и финансовое законодательство, другие специфические отраслевые нормы), которые необходимо принять во внимание при установлении соответствующих требованиям GDPR сроков хранения. Бывают ситуации, когда есть ряд заинтересованных сторон с различными потребностями в плане хранения информации в соответствии с законодательно-нормативными требованиями, имея в виду, что персональные данные попадают в контракты, финансовые, кадровые документы, в документы, отражающие деловые транзакции, а также во многие другие. Сроки хранения персональных данных будут установлены по итогам переговоров с этими заинтересованными сторонами. Целью таких переговоров является подбор срока хранения, который соответствует всем применимым законам и нормативных актам. Закон GDPR позволяет организациям решать, сколь долго им нужны персональные данные, при условии, что соответствующие решения являются обоснованными и надлежащим образом задокументированы.

Закон GDPR затрагивает не только информационную безопасности и соответствие стандарту ISO 27001, он также касается управления жизненным циклом персональных данных и наличия поддерживающих такое управление технологий. Спросите об этом специалиста по управлению документами!

Источник: http://www.securitylab.ru/blog/personal/rusrim/333397.php

Срок хранения персональных данных работника

Защита персональных данных
с помощью DLP-системы

З аконодательством Российской Федерации определено понятие персональных данных (ПДн) как информация, которая относится к физлицу (названному субъектом персональных данных), предоставляется иным физическим либо юридическим лицам. В целях обеспечения безопасности граждан и защиты от незаконного получения ПДн законодательство разрабатывает нормативные акты, регламентирующие процедуру работы с такими данными.

Порядок хранения личных данных работников предприятия

Любые трудовые отношения должны начинаться с подписания документов (об оказании услуг, по кредитованию и др.), заключения трудовых контрактов, приказов с обязательным занесением в эти бумаги личной информации о служащих (фамилии, имени, отчества, адреса – фактического и места прописки, информации о предыдущем рабочем месте, стаже и пр). Поэтому каждый работодатель по закону обязан знать процедуру обработки личных данных своих служащих и выполнять ее.

Существует ряд требований и нормативов, с учетом которых работодатель обязуется производить хранение и использование такой информации:

  • период нахождения персональной информации в базе не должен превышать времени, отведенного на реализацию целей и задач, для которых необходима обработка этой информации;
  • сразу после решения этих задач и достижения целей всю использованную информацию о работнике требуется обезличить и удалить либо уничтожить;
  • если пропала необходимость в дальнейшем хранении и использовании ПДн – такие данные также подлежат уничтожению.

Руководителем организации назначается ответственное лицо (оператор), на которое возлагается функция по защите личных данных всего штата (хранение, обработка, использование, корректировка, передача, удаление). Если в какой-то момент оператор не может выполнить свои обязанности, он должен делегировать эти полномочия иному служащему фирмы с составлением и подписанием официального приказа.

В таком приказе указывается обязательство обеспечения абсолютной конфиденциальности и безопасности хранимых ПДн.

Кто имеет право использования персональных данных

Федеральный закон установил перечень лиц, которые могут производить действия с конфиденциальными данными сотрудников:

  • сотрудник, назначенный на должность оператора ПДн;
  • заместитель директора по административной работе;
  • HR-менеджер;
  • начальник кадрового отдела.

Однако остальные сотрудники компании, также периодически сталкиваются с личными сведениями работников при работе с документами. Это бухгалтеры, секретари специалисты по ведению баз данных, специалисты по работе с персоналом.

Все должностные лица предприятия, которые осуществляют обработку ПДн сотрудников, обязаны обеспечить сохранность документов, в которых ведется учет кадров, графиков выплат заработной платы, рабочих смен и прочих кадровых сведений.

Ограничение времени хранения ПДн

Законодательство Российской Федерации предусматривает, что хранение персональных сведений не должно осуществляться дольше того времени, которое отведено на достижение целей, для которых они обрабатывались. В некоторых случаях это время устанавливается самим субъектом ПДн либо законодательством. Во всех остальных случаях оператор определяет и устанавливает срок нахождения данных в базе, а также условия для их удаления (прекращения использования).

Законом предусмотрено право выбора одного из этих условий: либо установить период хранения, либо установить факт прерывания обработки после наступления определенного обстоятельства. Выбор варианта зависит напрямую от вида деятельности организации. Например, для составления статистических отчетов в конце года данные больше не понадобятся, поэтому они должны быть уничтожены.

Медицинские заведения обязаны хранить ПДн длительный срок. Именно поэтому законодательство РФ позволяет выбирать операторам временные рамки либо конкретное событие для прекращения обработки имеющейся информации.

Но все-таки законом установлен срок, в пределах которого разрешено хранение ПДн. Поэтому все трудовые книжки и трудовые договоры, которые не забрал субъект, должны помещаться в специальный архив организации до их востребования. Если же документы больше не понадобятся – все равно их должны сохранять не менее 50 лет.

Где еще хранятся ПДн работников?

Система пенсионного страхования служащих также располагает данными о работниках. Документы с такой информацией должны храниться в структуре не менее 60 лет и обязательно соответствовать следующим критериям:

  • содержать сведения о личном счете застрахованного субъекта;
  • соответствовать определенной форме (обязательно письменной) и иметь подпись субъекта;
  • иметь свой электронный дубликат с соответствующей цифровой подписью владельца ПДн;
  • содержать все сведения о налогах и взносах, удержанных из заработной платы или иных выплат работнику в счет Пенсионного фонда;
  • подаваться руководителем предприятия в фонд социального страхования для ведения индивидуального учета граждан в системе соцстрахования.

Разрешение на использование ПДн

Непременным условием для обеспечения корректной работы со сведениями служащих является разрешение на их использование. Такое разрешение берется у субъекта ПДн оператором, в нем указываются период действия и срок отзыва этого разрешения.

Установить длительность действия разрешения можно двумя способами: обозначением конкретной даты или использованием фразы юридического характера: «Данное соглашение действует со дня его подписания и до момента отзыва этого решения».

Читайте так же:  Сколько делается родовой сертификат

Так сколько же все-таки должны храниться конфиденциальные сведения? Содержание данных в базе обеспечивается оператором на тот период, который необходим для использования ПДн.

Бывают ситуации, когда предприятие не использует данные непрерывно. В этом случае доступ к ним обеспечивается в любое время, когда они понадобятся.

Также оператор обозначает конкретные действия, которые будут предприняты с ПДн по достижении конца срока их использования – обезличить или уничтожить. Обезличить информацию – значит изменить ее форму, которая не позволит распознать субъекта данных.

Обработка персональных материалов прямым образом связана с их хранением. И если использование ПДн завершается по достижении конкретной цели – оператор обязан дальше не хранить их.

Нельзя указывать разные сроки или условия для прекращения хранения либо использования персональной информации. К примеру, когда срок хранения ПДн завершился, тоих обработка в дальнейшем проводиться не может и не должна.

Продление термина разрешения

В случае необходимости оператор может продлить срок обработки и хранения ПДн. Но для этого предприятие обязано выполнить определенные условия, изложенные в политике в отношении обработки персональных данных. Работник, чьи данные хранятся в базе, имеет право изучить этот документ.

Продление сроков использования ПДн разрешается федеральным законом только в том случае, если мотивы этих действий являются полностью законными, и если имеются веские основания для этого.

Предприятие, которое хранит ПДн сотрудников, имеет возможность выбрать автоматическое продление термина разрешения на обработку данных субъекта. При этом субъект в любое время имеет право разорвать данное разрешение.

Трудовое законодательство РФ обозначило конкретные нормы относительно сроков хранения и обработки персональных материалов трудящихся, однако само время хранения государство не устанавливает. Действует лишь одно требование – иметь доступ к данным не дольше, чем это требуется.

Сведения о работниках предприятия обязательно прикрепляются к личному делу. Руководитель, в соответствии со ст. 87 Трудового кодекса, самостоятельно устанавливает порядок и процесс применения ПДн сотрудников. Но этот порядок ограничивается рамками законодательства РФ.

Особенности хранения бумажных документов

Информация на бумажных носителях должна храниться в сейфах предприятия. Если данные о сотрудниках обрабатываются в электронном виде – они находятся в базе данных на компьютере оператора, уполномоченного обеспечивать их безопасность.

Когда сотрудник уволен, его личное дело должно находиться в отделе кадров до окончания календарного года, после чего начальник отдела кадров проводит архивно-техническую обработку ПД и отправляет всю документацию об уволенных служащих в архив.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/hranenie-personalnyh-dannyh/srok-khraneniya-personalnykh-dannykh-rabotnika/

Срок действия согласия на обработку персональных данных

Защита персональных данных
с помощью DLP-системы

С убъектам хозяйствования, независимо от формы собственности, необходимо собирать, обрабатывать, хранить персональные данные (ПДн) работников, партнеров по бизнесу и других лиц. Получать согласия на обработку персональных данных нужно с соблюдением требований законодательства. Оператору также нужно знать, сколько может действовать такое согласие, чтобы при выполнении любых действий с ПДн не нарушать требования законодательных актов.

Срок действия согласия

Хранить и обрабатывать личные данные оператор может на протяжении некоторого срока. Для этого нужно получить у субъекта ПДн одобрение на их использование, в котором указывается период его действия. Но в законе о персональных данных № 152 не указываются эти граничные сроки (гл. 2 з-на). Соответственно, нужно установить этот срок, опираясь на взаимно подписанное соглашение.

Предусматривается три варианта фиксации срока такого разрешения:

1. Можно установить ограниченное время на использование и хранение ПДн, прописав конкретную дату, до которой разрешение будет юридически законным. В таком случае нужно учитывать, что по окончании этого срока может понадобиться применить личные сведения гражданина. Но до оформления нового разрешения воспользоваться ими не разрешается, поэтому можно потерять много времени на документальные проволочки, что иногда тянет за собой проблемы. Нужно постоянно контролировать граничные сроки действия разрешения и до окончания указанной в нем даты оформить новое одобрение.

2. Следующий способ: вписать в разрешение срок действия данного документа – до реализации условий, при которых обработка ПДн будет прекращена. В согласии гражданина на обработку его ПДн нужно указать какое-либо событие вместо конкретного числа. Это может быть дата увольнения сотрудника, выполнение какой-либо услуги. Такой формат срока действия разрешения более приемлем в плане уменьшения затрат времени на бумажную фиксацию этого разрешения. Пока сотрудник не уволился, не нужно контролировать его сведения, чтобы отслеживать срок действия полученного от него согласия. Также не требуется подписывать новое разрешение, если срок старого истек.

3. Можно воспользоваться комбинированным вариантом определения срока действия согласия, при котором устанавливается дата окончания и наступления конкретного события. Примером такого способа может служить оформление займа в банке. Кредитор рассчитывает использовать сведения о заемщике на протяжении трех лет после закрытия кредита. Соответственно, в соглашении указывается срок – на протяжении трех лет с даты окончания действия договора кредитования.

Содержание согласия

В законе о ПДн № 152-ФЗ прописан ряд обязательных требований в отношении оформления согласия на пользование личными сведениями, которые нельзя игнорировать. Во время формирования согласия важно тщательно проработать и внести следующую информацию:

Нужно знать, что законодательство требует хранить документацию, касающуюся сотрудника, на протяжении 75 лет. Это касается и личной информации.

Продление сроков

Если необходимо продлить срок действия согласия на какой-либо период после окончания указанной в нем даты, выполнить это можно следующим образом:

  • заключить дополнительное соглашение;
  • сделать новое разрешение;
  • внести в его текст возможность автоматического продления на конкретный период.

Чтобы избежать конфликтов, недоразумений между сторонами, лицо, уполномоченное на обработку ПДн, должно владеть знаниями о требованиях актуального законодательства и обеспечить их выполнение.

Видео (кликните для воспроизведения).

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/soglasie-na-obrabotku-personalnykh-dannykh/srok-dejstviya-soglasiya-na-obrabotku-personalnykh-dannykh/

Срок хранения персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here