Бесплатная горячая линия

8 800 700-88-16
Главная - Другое - Места хранение персональных данных в организации

Места хранение персональных данных в организации

Места хранение персональных данных в организации

Хранение персональных данных клиентов в российском информационном поле

Личные данные включают сведения о человеке и информацию о его работе, таких как:

  1. дата рождения;
  2. название должности.
  3. ссылки на аккаунты в соцсетях;
  4. наименование работодателя;
  5. номер телефона;
  6. место жительства;
  7. Ф. И. О.;
  8. e-mail;

Что же считается персональными данными? Точного определения пока не существует.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций и Министерство цифрового развития, связи и массовых коммуникаций так и не обозначали границы данного понятия. Исходя из законодательных актов и материалов судебного делопроизводства, можно сформулировать, что личные данные представляют собой информацию «в связках». То есть по отдельности Ф. И. О., номер телефона и e-mail считаются простой информацией.

Но, допустим, те же Ф. И. О. и телефонный номер в паре, а сочетание адреса, Ф.

И. О. и должности представляют собой уже персональную информацию. Примеры «связок»:

  • Елена, 8-756-899-11-90;
  • Дмитрий, 15.08.1988, сварщик;
  • кассир, ЗАО «Большая равнина».

Такую информацию Роскомнадзор считает персональной.

Закон не расценивает персональной информацию, выложенную самим человеком по доброй воле в открытый доступ. Ф. И. О. и номера телефонов, взятые из справочников типа «Желтые страницы», соцсетей и других подобных источников – это не персональные данные. Исключение – социальная сеть «ВКонтакте», данные пользователей которой Роскомнадзор запретил собирать и обрабатывать.
Исключение – социальная сеть «ВКонтакте», данные пользователей которой Роскомнадзор запретил собирать и обрабатывать. Например, центр опросов «Голд Системы» собирает в соцсетях базу покупателей и заносит в нее данные о пользователях, их контакты.

Операторы компании потом звонят людям из этой базы с целью рекламы своих продуктов. Эти сведения считаются персональными, и в теории данная организация должна подготовить для Роскомнадзора отчет по своей деятельности. Если использовать для сбора данных все социальные сети, кроме «ВКонтакте», то отчитываться перед контролирующим органом не нужно.

При заключении договора все указываемые потребителем сведения тоже считаются персональными. Если они удаляются сразу после завершения работ по договору, то отчет для Роскомнадзора не потребуется.

Чтобы не нарушать закон, данные должны быть уничтожены без промедления.

Например, ИП Владимира Шарова занимается продажей воздушных шариков.

Клиенты заключают с ним договор с указанием Ф. И. О., телефона, электронной почты и адреса.

Предприниматель использует e-mail и номер телефона для рассылки рекламных предложений. Личные данные Шаров собирает с целью оформления договора, но после завершения сделки продолжает их хранить.

Следовательно, Роскомнадзор потребует с него отчет, поскольку закон определяет срок хранения персональных данных клиентов.

Если Владимир отчитываться не хочет, то он обязан удалять информацию о своих покупателях после окончания контракта.

По закону сбор и хранение избыточных персональных данных запрещен.

Допустим, продавец шаурмы собирает номера телефонов и Ф. И. О. потребителей для рассылки приглашений в свое кафе. Однако он не имеет права узнавать сведения о должности и месте работы клиентов, которые не нужны для данной рассылки. За подобное нарушение предпринимателя могут оштрафовать.
Постановление № 1119 Правительства РФ гласит, что персональные данные граждан делятся на три группы, исходя из которых определяется степень их защиты:

  • Религиозные, философские, политические взгляды, а также информация о личной и интимной жизни человека, сведения о гражданстве к специальной категории.
  • Фото, отпечатки пальцев, рост, вес, другие физические параметры и биологические сведения относятся к биометрической категории.
  • Персональные данные, выложенные самими гражданами в открытый доступ, например, анкеты в соцсетях, относятся к общей категории.

Остальные сведения, не входящие в три основные разряда, – это другие группы.

Существуют типы по количеству людей, данные которых хранятся одновременно:

  1. более 100 000 субъектов.
  2. менее 100 000 субъектов;

Исходя из принятых классификаций, определяется и необходимый уровень защиты личных данных.

Персональные данные находятся под угрозой, когда возникает риск их утери или обнародования. Наиболее часто возникают такие ситуации, как:

  1. сбой операционных систем, их незащищенность от действий лиц со злым умыслом;
  2. проблемы в функционировании программного обеспечения, которое защищает ПДн;
  3. человеческие ошибки, например, забыли закрыть доступ, не выключили компьютер, упустили проблемную ситуацию.

От системы сбора персональных данных зависят способы их хранения.

Информация классифицируется ручным способом посредством Интернета или сканов клиентской документации. Если ПД собраны через Интернет. Данные посредством Сети могут собираться с помощью виджета Envybox под названием «Захватчик клиентов». Когда человек заносит личные сведения в формы заказов и подписок на сайте, его персональные данные попадают в Интернет.
Когда человек заносит личные сведения в формы заказов и подписок на сайте, его персональные данные попадают в Интернет. Вся информация из онлайн-форм сохраняется на сервере.

Защиту этих материалов обеспечивает провайдер. Поэтому оптимальным местом нахождения базы личной информации считается сервер в России. Если ПД собраны вручную. Данные собираются вручную, например, в различных салонах красоты, посредством заполнения клиентами анкет, где они указывают свои имена и контакты для получения рекламных сообщений.

Там же подписывается согласие на обработку ПДн.

Личные сведения работники заносят в базу, которая оформляется в Excel-таблице или в системе CRM.

Если ПД отсканированы. Когда организации для работы требуется сканирование документов, например, паспортов клиентов, то эти оттиски тоже необходимо где-то хранить, обычно для этого используется облачное хранилище или в локальной сети, а также на жестком диске ПК или съемном носителе. Если ПД собраны на бумаге. Если персональные данные зафиксированы в бумажном варианте в виде согласия абонентов на их обработку, а также договоры, копии паспорта, страхового свидетельства и т.

Если ПД собраны на бумаге. Если персональные данные зафиксированы в бумажном варианте в виде согласия абонентов на их обработку, а также договоры, копии паспорта, страхового свидетельства и т. д., их хранят в закрытом хранилище.

Это могут быть шкаф или сейф, которые располагаются в запираемом помещении.

Право доступа к документам дается только определенной категории сотрудников. Хранение персональных данных клиентов в организации на бумажном носителе осуществляется в папках, которые делятся на несколько групп в зависимости от цели сохранения. Нужно учитывать, что ПДн работников и покупателей не находятся рядом.

Сведения о клиентах также могут подразделяться на группы. В идеале для хранения каждой группы должно быть организовано отдельное место. При хранении персональных данных клиентов вы можете уклониться от требований российского законодательства, либо следовать всем правилам.

  1. Чтобы сделать все по закону, следует выполнить следующее:
  2. Чтобы избежать ответственности, надо либо удалить со своего интернет-ресурса форму для внесения контактов, либо оставить в ней строку указания адреса электронной почты для рассылки или строку номера телефона для сбора заказов. В этом случае Роскомнадзор не заинтересуется данной организацией и ее сайтом.
  • Зарегистрировать оператора ПДн на сайте Роскомнадзора.

    Для этого надо отправить заявление в электронном и письменном виде. Это очень просто: вбейте необходимую информацию в электронную форму и получите заявление – заполните его и отправьте. Затем распечатайте бумажный вариант, который надо отправить в ближайшее отделение Роскомнадзора посредством Почты России.

  • Необходимо обязательно предупредить своих пользователей о том, что вы храните их персональные данные, поэтому они должны согласиться с вашей политикой конфиденциальности.

    Ссылку следует размещать в удобном месте: внизу страницы, в шапке либо она должна появляться сразу при регистрации на вашем веб-ресурсе – главное, чтобы клиент ознакомился с информацией до того, как он отправит личные сведения.

  • Готовые документы сохраните – предъявите их при проверке сотрудникам Роскомнадзора.

Подробный порядок работы с данными пользователей должен быть закреплен в соответствующих документах вашей компании.

В них следует расписать способы защиты, вид и место хранения персональной информации, список лиц, которые могут с ней работать, дату уничтожения.

Существует еще ряд важных моментов, которые необходимо учитывать:

  • Персональные данные уничтожаются в течение тридцати дней после закрытия заказа. Допустим, организация установила окна по договору. После этого она должна удалить имя и телефон заказчика из своей базы.
  • Для разных целей следует формировать несколько клиентских баз. Допустим, 60 покупателей интернет-магазина согласны на рассылку рекламы по e-mail, а 110 оставили свои данные для получения подарочной скидки. То есть ПДн предоставлены для двух целей, следовательно, по закону требуется создать две базы пользователей. Сливать все данные в одну группу нельзя.
  • Личные данные не передаются третьим лицам. Все папки защищаются паролем при хранении на сервере, в сети или на компьютере. В бумажном виде информация хранится в сейфе.
  • Если вы хотите сохранить сведения о клиенте для последующего их использования, то обязаны запросить его бессрочное согласие. Однако это соглашение можно расторгнуть в любое время, потребителю достаточно написать заявление на имя руководителя предприятия о запрете использования его данных.

Контролирующий орган обычно проводит плановые проверки, но могут возникнуть и непредвиденные ситуации, допустим, поступили обращения от покупателей или конкурирующих организаций.

Роскомнадзор в этом случае проверит обращение, все документы, просмотрит пользовательское соглашение и уведомления на сайте.

При несоответствиях требованиям закона налагаются штрафные санкции:

  1. для физических лиц – 5 000 рублей;
  2. для юридических лиц – 300 000 рублей.
  3. для работников компании в случае невыполнения должностных обязанностей – 25 000 рублей;
  4. для индивидуальных предпринимателей – 100 000 рублей;

При этом штрафы могут суммироваться.

Допустим, четыре работника не выполнили свои обязательства по отношению к персональным данным клиентов, значит, они получат суммарный штраф в размере 100 000 рублей.

  1. Серверы с данными находятся за границей. Нужно ли подавать уведомление? Следует ли переносить данные на российские серверы? Необходимо в обязательном порядке сформулировать соглашение и подать уведомление. Вопрос о переносе данных на российский сервер нигде однозначно не раскрыт. В этом случае нужно обратиться в раздел «Разъяснения» на сайте Министерства цифрового развития, связи и массовых коммуникаций или выяснить в Роскомнадзоре.
  2. Я храню и обрабатываю cookie-файлы. Я оператор? В Роскомнадзоре не раскрывают вопрос относительно cookie-файлов. Поэтому за разъяснениями рекомендуем обратиться в этот орган. Для перестраховки бизнесмены размещают на сайте всплывающее окно с сообщением о согласии посетителей на хранение cookie.
  3. Я собираю геоданные пользователей. Я оператор? К персональным данным относятся все материалы о человеке и его работе, которые собираются в «связках». Поэтому геоданные будут относиться к ПДн, если они предоставлены вместе с другими данными, например, с Ф. И. О. и номером телефона. Для сбора только геоданных необязательно становится оператором.
  4. А что делать, если сбор персональных данных идет через мессенджеры? В данной ситуации хранение ПД клиентов осуществляется на сервере компаний-операторов. Однако ответственность за сохранность ПДн остается на владельце организации, ведущей деятельность и сбор личной информации в мессенджерах. Необходимо контролировать защиту данных пользователей и понимать, обосновано ли в чат-центре хранение персональных данных клиентов. Закон этого не запрещает.
  5. Как работать без третьей стороны при сборе ПД в мессенджерах? Для этого потребуется переподключение on-premise, или in-house. При нем данные будут отправляться не в чат-центр, а сразу на сервер компании. Бизнесмены могут организовать данный процесс самостоятельно.

Хранение и обработка персональных данных. Инструкция

Персональные данные — это практически любая информация о физическом лице.

Поэтому если Ваша организация работает с людьми, о которых Вы так или иначе информацию собираете, то эта инструкция будет Вам полезна. Она затронет следующие аспекты: получение согласия на обработку, уведомление субъекта персональных данных об обработке данных, уведомление Роскомнадзора, трансграничная передача данных, необходимость хранить персональные данные в России и организационные требования к оператору. Так что наберитесь терпения. Законодательство о персональных данных в России аморфное — неясного в нем больше, чем доподлинно известного.

Помимо «аморфности» законодательство еще вводит сложные и трудоемкие алгоритмы работы с персональными данными, что автоматически делает работу по его соблюдению более сложной, а данную инструкцию — более объемной.

По общему правилу, если Вы обрабатываете (например, храните обращения граждан), то всегда лучше иметь согласие лица на обработку его персональных данных. Примерную форму такого согласия можно найти по ссылке.

Естественно, в работе правозащитных организаций иногда получить согласие человека невозможно. Например, при похищении человека или при применении пыток к заключенному. В законодательстве есть ряд исключений, которые позволяют обрабатывать персональные данные без согласия.

Поэтому при работе с такими обращениями важно понимать, в какую категорию исключений они могут попасть (на случай, если к Вам после публикаций придет Роскомнадзор с проверкой).

Но их немного: Если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, и если получение согласия субъекта персональных данных невозможно.

Как только угроза жизни или здоровью прекращается, обработка должна быть прекращена. При этом понять, когда, по мнению Роскомнадзора, угрозу можно считать прекращенной, например, при жалобах на пытки в СИЗО, не совсем ясно. Очевидно одно, что в течение короткого времени, данное исключение будет позволять работать с персональными данными, но если есть перспектива долгосрочной работы над обращением, лучше взять согласие.

Если есть договор между организацией и лицом (например, родственником пропавшего), в котором бенефициаром (человеком, в пользу которого договор исполняется) является лицо, чьи персональные данные подлежат обработке. Это может быть договор оказания услуг (например, юридических, и например, на безвозмездной основе).

Поэтому если получение согласие от субъекта персональных данных никак невозможно, то рекомендуем заключить подобный договор с родственником. В таком случае, Вам будет, что предъявить Роскомнадзору при внеплановой проверке.

Однако если Вы обрабатываете данные, которые относятся к категории «специальные персональные данные» (это данные относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), то нужно обязательно брать согласие человека. Помимо получения согласия на обработку персональных данных есть еще одна бюрократическая сложность. В некоторых случаях необходимо уведомлять Роскомнадзор о том, что Ваша организация обрабатывает персональные данные.

Как только такое уведомление Роскомнадзор получает, Вашу организацию могут включить в список плановых проверок. Само уведомление заполнить несложно.

Его форму можно найти . (ссылка на ). В каких случаях можно не уведомлять Роскомнадзор:

  • При обработке персональных данных работников организации
  • Если персональные данные обрабатываются для исполнения договора, который был заключен между организацией и субъектом персональных данных. Если Ваша организация не заключает договоры, но у Вас есть письменное обращение доверителя в Вашу организацию, то такое обращение также можно рассматривать в качестве основания для неуведомления Роскомнадзора. Обращаем внимание, что в случае заключения договора, в котором субъект персональных данных является бенефициаром (как, например, при похищениях и насильственных исчезновениях), а не стороной, то такой договор не освобождает от необходимости уведомления Роскомнадзора.
  • Если данные обрабатываются без использования средств автоматизации. Многие общественные организации пользуются примерно следующим спектром офисных программ — Word, Excel, Power point + СПС типа Консультант. Мы полагаем, что обработка персональных данных с использованием данных программ не является обработкой с использованием автоматизации (почему мы так считаем, можете прочитать ). Таким образом, уведомлять Роскомнадзор об обработке не требуется. Однако судебная практика еще окончательно не ответила на этот вопрос. Поэтому если желаете перестраховаться, то лучше подать уведомление в Роскомнадзор.
  • Если персональные данные включают только фамилии, имена и отчества субъектов персональных данных.

Закон устанавливает, что трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Чаще всего правозащитные организации осуществляют трансграничную передачу в случае отправления жалоб в Европейский суд по правам человека или в органы ООН.

Требования законодательства таковы, что если трансграничная передача осуществляется не в безопасную страну (список безопасных стран можно посмотреть ), то необходимо или иметь договор с субъектом персональных данных, который бы предусматривал возможность такой передачи, или необходимо получить отдельное согласие на такую трансграничную передачу. Может быть, помните, что начиная с лета 2014 года было много шума из-за принятия закона о персональных данных (№242-ФЗ)?

Этот закон обязывает операторов персональных данных обеспечить запись, хранение (и прочие операции) персональных данных граждан РФ с использованием баз данных на территории РФ с 1 сентября 2015 года.

Это означает, что персональные данные наших соотечественников должны храниться на российской территории. Однако это не означает, что за рубежом они не могут храниться вовсе. Согласно позиции Министерства связи, хранение данных за пределами РФ является возможным, если первоначальная обработка осуществлялась на территории РФ.

Другими словами, можно иметь две базы данных – одна в России, а другая – за рубежом. При этом Роскомнадзор, скорее всего, не сможет проверить, насколько эти базы идентичны.

Огромное внимание Роскомнадзор уделяет правильно составленным обязательным документам.

Поэтому рекомендуем Вам в самое ближайшее время разработать и утвердить следующие документы:

  • Правила обработки персональных данных ()
  • Документ о назначении лица, ответственного за организацию обработки персональных данных.
  • Порядок доступа работников в помещения, в которых проводится обработка персональных данных

С правилами обработки персональных данных необходимо ознакомить всех работников НКО под роспись. Документы, содержащие персональные данные, должны храниться в запирающихся шкафах. Закон также требует, чтобы персональные данные уничтожались тогда, когда их хранение уже не является необходимым.

Например, жалоба была выиграна в Европейском суде, решение ЕСПЧ было исполнено, значит, данные нужно уничтожить. А об уничтожении составить акт. Более того, мы Вам ранее рассказали, что закон требует, чтобы хранение и обработка велась в России, поэтому необходимо иметь документы, подтверждающие размещение баз данных на технических площадках (ЦОД, сервера) в России.

Это могут быть либо собственные серверные мощности, либо арендованные.

Хранение персональных данных

Еще совсем недавно вопрос о безопасном хранении персональной информации работников не привлекал столько внимания, как сейчас.Российское законодательство требует от работодателей разработки комплекса мер по защите данных сотрудников. За несоблюдение этих требований руководителям предприятий в виде штрафов, приостановления лицензии, и даже ареста.

Вот почему многие организации всерьез занялись обеспечением , защищая конфиденциальные сведения о своей деятельности, в том числе базы данных персонала.Содержнание:

В Федеральном законе РФ “О персональных данных” отмечено, что любая информация, касающаяся прямо или косвенно определенного физического лица относится к .Это различные сведения о человеке: от ФИО, даты и места рождения до информации о доходах, здоровье и т.д.Если обратиться к Трудовому кодексу РФ, то можно увидеть, что персональными данными считается информация, относящаяся к работнику и используемая работодателем в связи с трудовыми отношениями.При поступлении на работу каждый сотрудник предоставляет организации () паспорт, военный билет, пенсионное свидетельство, ИНН и другие документы.Поэтому, каждый работодатель, заключая с работником трудовой договор, становится обладателем сведений, относящихся к персональным данным. И совершая любые действия с этими данными (например, сбор, запись, систематизацию, накопление, хранение и другие), предприятие осуществляет их .Персональные данные, с которыми приходится работать сотрудникам кадровой службы, носят конфиденциальный характер.

Это означает, что лица, имеющие доступ к личной информации работников, без их разрешения или другого законного основания, не имеют права ее распространять.

ТК РФ обязывает каждого работодателя разрабатывать правила использования и хранения данных о персонале на своем предприятии, учитывая требования федеральных законов.Принятые соответствующие нормы и правила, могут содержаться в локальном акте фирмы о персональных данных.

Чаще всего, таким документом становится Положение о защите персональных данных работников, но не запрещается включать данный раздел в Правила внутреннего распорядка.Каждого сотрудника необходимо ознакомить с данным нормативным актом, поскольку ТК РФ прямо указывает на права работников участвовать в разработке мероприятий по обеспечению безопасности персональных данных.Для сохранения конфиденциальности персональных данных составляется список должностных лиц, имеющих к ним доступ, и разрабатывается форма документа, к примеру, «Соглашение о неразглашении», которое подписывают не только рядовые работники-исполнители (специалист по кадровой работе, бухгалтеры и др.), но и руководители подразделений, генеральный директор предприятия.

Многие специалисты ведут личные дела работников традиционным способом и не желают от него отказываться.Особенности этого заключаются в том, что вся информация о каждом работнике, представленная оригиналами и копиями документов накапливается в специально оформленной папке. При этом единых правил оформления личных дел в коммерческих организациях не существует.Преимущества ведения личных дел:

  1. быстрый поиск информации о конкретном человеке.
  2. все данные о сотруднике находятся в одном месте;
  3. возможность четкой систематизации;

Недостатки хранения персональной информации с комплектованием личных дел:

  1. требуются дополнительные ресурсы (сейфы, отдельные помещения и т.д.);
  2. высокая трудоемкость (требуется регламент, подшивка документов, опись, сверка, архивирование);
  3. необходимы навыки работы с личными делами.

Часто персональная информация о работниках хранится на бумажных носителях, расположенных в разных тематических папках в соответствии с номенклатурой организации.

Возможность предоставляемый в 2014 г. по новой форме расчета для начисленных и уплаченных взносов обязательного пенсионного страхования в ПФР, и страховым взносам в Фонд обязательного мед. страхования, имеется в программе CheckXML.Отчетности в ПФР бояться не стоит, несмотря на большое количество кодов и регистрационных номеров, которые необходимо отразить в документах.

О том, как правильно подготовить отчет в ПФР читайте .Все документы, касающиеся работников, одного назначения: трудовые договоры, документы анкетно-биографического характера, договоры материальной ответственности и т.д. размещаются в отдельные папки и выстраиваются в алфавитном порядке или по регистрационным номерам.В сравнении с оформлением личных дел, такой способ хранения данных о работниках несет в себе меньше трудозатрат и не требует особых навыков от кадровика.Однако раздельное хранение имеет и свои недостатки:

  1. существует более высокий риск раскрытия конфиденциальной информации.
  2. поиск информации о сотруднике занимает много времени;

При таком способе хранении практически вся персональная информация хранится в электронном виде с использованием и информационных систем.Преимущества хранения информации на электронных носителях:

  1. экономится место и пространство;
  2. не нужен большой архив.
  3. высокая скорость и удобство работы с персональными данными;
  4. срок хранения не ограничен сроками;
  5. повышенная степень защиты от несанкционированного доступа;
  6. нет необходимости в дополнительных ресурсах;

Недостатки хранения информации в электронном виде:

  1. необходимо иметь резервные копии базы данных персонала;
  2. программное обеспечение и специальное оборудование стоит не дешево;
  3. требуется администрирование информационной системы;
  4. нужна высокая грамотность сотрудника, работающего с персональными данными.

Для того, чтобы , хранящиеся в электронном виде используют следующие методы:

  1. ограничение доступа сотрудников в помещения, где находятся технические средства, используемые для обработки личных данных;
  2. четкая организация хранения и учета информационных носителей и другие.
  3. внедрение разрешительной системы допуска персонала к конфиденциальной информации;

Обезопасить себя от потенциальных претензий со стороны финансовых структур и исключить риски в ведении предпринимательской деятельности позволит .Есть специальные сайты, где Вы можете проверить контрагента по налоговой просто введя номер его ИНН в специальную графу и получить результат мгновенно. О том, как провести проверку по ИНН узнайте .У каждого из рассмотренного способа хранения персональных данных работников на предприятии свои недостатки и преимущества.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+