Одновременно с получением статуса оператора ПДн руководитель организации или предприниматель приобретает массу обязанностей в отношении владельцев обрабатываемой информации. Речь идет, прежде всего, о сотрудниках, чьи личные дела и сведения о зарплате находятся в распоряжении предприятия, но также требования законодательства касаются клиентов и партнеров. На данный момент времени нормативно-правовую базу в данном вопросе, несмотря на вступление в силу ФЗ-152, нельзя назвать достаточно проработанной, поэтому нередко у работодателей возникают трудности.
Распространенная проблема — сроки хранения персональных данных в организации. Есть прописанные в федеральных законах требования, постановления Правительства и т.д., которые могут вступать между собой в противоречие. Многие особенности четко не прописаны, вследствие чего возникает путаница. Чтобы обезопасить информацию о гражданах, начальству необходимо затратить время и немало усилий, чтобы разобраться в том, сколько можно хранить персональные данные. С учетом максимально допустимого времени в отношении тех или иных сведений в дальнейшем будут составляться локальные документы (приказы, анкеты, согласие на обработку и т.д.), а также разрабатываться система защиты, место для размещения материальных носителей и т.д.
Требования к сроку хранения персональных данных по ФЗ-152
Абсолютно любые операции с Ф.И.О., адресом и другими сведениями, которые дают возможность идентифицировать гражданина, предполагают следование установленным законом требованиям. То есть работодатель не может произвольно решить, как долго будут сохраняться ПДн, как он их будет использовать и т.д. Все эти процессы регулируется ФЗ-152. Кроме определения терминов и других общих положений в документе содержатся статьи, регламентирующие сроки обработки и хранения персональных данных, а также сам процесс их применения. Вот главные моменты:
- нахождение в базе личной информации и на материальных носителях не должно быть дольше, чем время, необходимое на выполнение задач, ради которых она была собрана;
- когда цели получения и обработки выполнены, запрещено продолжать хранить ПДн. Их требуется обезличить и уничтожить в установленном законом порядке, если нет других предусмотренных законом обстоятельств этого не делать;
- уничтожению подлежат те сведения, необходимость в которых, по тем или иным причинам отпала;
- нельзя выполнять какие-либо операции до получения письменного согласия от субъекта в установленной форме либо после того, как владелец отозвал ранее предоставленное разрешение;
- оператор обязуется в период использования личной информации обеспечивать её защиту от распространения и кражи третьими лицами, а за нарушение этого правила он несет как административную, так и уголовную ответственность.
Чем определяется срок хранения ПДн в организации?
Есть несколько факторов, от которых зависит максимальный период сохранения таких данных:
- время, необходимое для достижения изначально установленной цели использования информации;
- завершение срока, который прописан в подписанном оператором и субъектом соглашении;
- исчезновение потребности в использовании полученных от гражданина сведениях;
- нормативные требования действующего законодательства.
Кроме основного закона о ПДн, есть также нормативная база, регулирующая архивное хранение персональных данных, масштабные изменения в которой произошли в 2010 году после принятия и вступления в силу ФЗ-558. Но тут есть важный нюанс: этот закон регулирует требования относительно материальных носителей определенных категорий личных сведений. В отдельных случаях специалисты в области юриспруденции рекомендуют операторам не уничтожать ПДн, а обезличивать их. Это связано с существованием временных ограничений по подаче исковых заявлений. Имея в наличии обезличенную информацию, вы сможете отстоять свои права в судебных инстанциях, не нарушая при этом правовые нормы в отношении идентифицирующих граждан данных.
Условия, которые должен обеспечить оператор
Помимо следования установленным срокам хранения персональных данных клиентов и работников, организация в лице руководителя также обязана:
- выбрать и назначить лицо, ответственное за сбор, хранение и обработку, а также защиту ПДн;
- обеспечить безопасность материальных носителей и позаботиться о предупреждении взлома ИСПДн;
- разработать согласие на использование личной информации и другие внутренние документы, регулирующие работу с конфиденциальными сведениями о гражданах;
- определить механизм доступа и наказания за нарушение локальных правил применения персональной информации;
- сформировать механизм контроля безопасности, обезличивания и уничтожения бумажных и электронных носителей.
Срок хранения персональных данных работника: какие есть ограничения
Основное, что необходимо знать:
- в течение трехлетнего периода сохраняются сведения о вступлении в должность, увольнении и т.д.;
- 75 лет — срок, в течение которого предусмотрено хранение персональных данных, имеющих отношение к денежным начислениям, например, зарплатных ведомостей, выдаче премий и материальной помощи;
5-летний период установлен для сохранения служебной документации, командировочных, локальных приказов, справок и выписок.
Время хранения согласия на обработку персональных данных
Вникая в тонкости установления максимального времени сохранения ПДн, нужно понимать, что сами сведения и согласие на их использование — это разные вещи. Очевидно, что хранение персональных данных должно осуществляться не дольше, чем требуется для достижения поставленных целей или до момента окончания действия согласия. Но как быть с документом, который подтверждает согласие владельца на проведение тех или иных операций? Закон предусматривает сохранение в течение 3 лет с момента окончания срока действия, но только если иное не предусмотрено дополнительным соглашением между работником и сотрудником либо иными нормативно-правовыми документами.
Другие структуры, где могут сохраняться сведения о гражданах
Зная сроки хранения ПДн в организации, субъекты полагают, что после их завершения и уничтожения либо обезличивания нигде больше личные сведения не сохраняются, но это не так. Информация остается в единой системе пенсионного страхования, где её хранят в течение 60 лет. Главные критерии, которые установлены законом в отношении документов, содержащих ПДн работников:
- наличие информации о персональном счете человека, который застрахован;
- письменная форма установленного образца с оригиналом подписи владельца ПДн;
- создание электронного дубликата с индивидуальной ЭЦП;
- присутствие данных о перечисленных взносах и налоговых отчислениях из зарплаты и других выплат ПФ России;
- подача руководителем компании в Фонд Соцстраха.