Срок хранения персональных данных клиентов

Как бизнесу правильно хранить персональные данные клиентов?

Срок хранения персональных данных клиентов

На основании внесенных правок в закон о хранении, использовании «Персональных данных», у бизнесменов возникают вопросы.

Многие до сих пор не могут разобраться в том, как правильно хранить полученную информацию и не нарваться на штрафные санкции. Бизнесмены давно научились получать подтверждение от клиентов на сохранение данных.

Но как же их все-таки нужно правильно хранить, не нарушая установленные законы РФ?

Под закон о ПД попадают любые данные, касающиеся личной информации клиентов или сотрудников фирмы. Также нередко возникает вопрос, который касается общения с клиентами в мессенджерах, ведь многие не понимают, как в данном случае работает закон.

Персональные данные – что это, зачем они хранятся?

Согласно прописанным законам, определение понятия «Персональные данные» очень расплывчато. Оно подразумевает под собой совокупность личной информации, благодаря которой можно опознавать гражданина.

ПД можно считать отдельные категории или совокупность пунктов:

  • Фамилия, имя, отчество человека.
  • Дата, место рождения.
  • Адрес проживания.
  • Телефонный номер.
  • Фотографии.
  • Электронная почта.
  • Семейное положение, наличие детей, родственников.
  • Полученное образование, место работы.
  • Уровень дохода.
  • Любые ссылки на страницы в социальных сетях, аккаунты на сайтах.

Любое получение подобной информации значит, что ваш бизнес собирает сведенья о пользователях, клиентах. А это, в свою очередь, означает одно – их необходимо правильно хранить.

Как хранить персональные данные?

Согласно закону ФЗ-152, любые лица, имеющие доступ к какой-либо категории персональных сведений других граждан, не имеют права осуществлять распространение полученного третьим лицам. Распространение возможно лишь в ситуациях, если сам субъект дал на это согласия.

Чтобы обеспечить качественную защиту потребуется:

  1. Хранить все собранные ПД в защищенном, надежном месте – обезопасить их от любых утечек информации или взлома.
  2. Первичную базу сбора информации необходимо содержать на территории Российской Федерации.
  3. Все сведенья разделяются на категории и, соответственно, степень их защищенности зависит от полученной категории.
  4. Сохранять необходимо лишь выбранные данные, необходимые для дальнейшей работы. Всю ненужную информацию следует сразу же удалять, чтобы избежать наказания в виде штрафа.

Открывая бизнес по предложению услуг сотовой связи, становясь провайдером интернета или интернет-компанией, по действующим законам, придется хранить помимо ПД еще и копии переписки пользователей.

На какие категории разделяют персональные данные?

Согласно Постановлению правительства РФ №1119, все персональные данные гражданина можно разделить на три основные категории. По этим категориям в конечном итоге определяется и их уровень защиты:

  1. Специальная категория – данные о личной, интимной жизни гражданина, его религиозные, политические и философские взгляды на жизнь. Также сюда относятся сведенья о гражданстве.
  2. Биометрическая категория – снимки гражданина, его рост, вес, отпечатки пальцев. В общем, это физиологические и биологические сведенья про человека.
  3. Общая категория – все персональные данные, которые гражданин самостоятельно предоставил в открытый доступ (к примеру, заполнение информации «о себе» в социальных сетях).
  4. Другие категории – любые данные, не подходящие под три предыдущие категории.

По количеству субъектов, чьи данные хранятся одновременно, разделяют:

  • Менее 100 000 граждан.
  • Более 100 000 граждан.

Исходя из этой информации, можно определить какой уровень защиты требуется использовать.

Какие существуют угрозы для ПД?

Угрозами для ПД считаются любые ситуации, ведущие к возможной потере или раскрытию личной информации о пользователе. Среди актуальных выделяются:

  • Сбои в работе, уязвимости для проникновения злоумышленников в операционной системе.
  • Нарушение работы программного обеспечения, поддерживающего защиту данных.
  • Человеческий фактор – оператор может заработаться и забыть выключить компьютер, случайно открыть доступ для посторонних лиц, недосмотреть за возникающей проблемой.

Уровни защиты персональных данных

При разделении защиты на уровни образуется четыре основных степени. Четвертая степень считается базовой защитой, для обеспечения безопасности которой требуется:

  1. Обезопасить от посторонних помещение, в котором содержится вся информация – дверь должна постоянно быть закрытой, доступ только у доверенных лиц. Установленное видеонаблюдение, график дежурства, разработка системы контроля за входящими и выходящими.
  2. Все носители, на которых содержится информация, должны быть спрятаны в сейфе и зашифрованы.
  3. Составление перечня лиц, имеющих доступ к информации – постоянный контроль за их деятельностью.

Все последующие уровни защиты использую базовые принципы, но при этом добавляют новые способы защиты:

  • На третьем – назначается ответственное за контроль лицо, которое будет отвечать за их сохранность.
  • На втором – доступ к просмотру электронного журнала контроля имеют только уполномоченные лица.
  • На первом – устанавливается сигнализация, происходит регистрация любых изменений, связанных с ПД.

Уровень подбирается исходя из количества охраняемой информации и ее категории.

Какое наказание следует за несоблюдением закона?

Во-первых, могут сильно пострадать ваши клиенты, чьи данные могут быть обнародованы, использоваться для шантажа или разжигания конфликтов. Самое безобидное, но в то же время надоедливое – это спам (звонки и смс-сообщения с рекламой).

Помимо клиентов организации пострадает и сама компания, ведь при несоблюдении установленных законов может последовать административная, уголовная или гражданская ответственность.  По такому делу назначается проверка, после вынесения вердикта у компании могут:

  • Забрать все оборудование.
  • Полная или частичная остановка деятельности фирмы.
  • Наложение штрафов, удаление собранных данных.
  • Также могут отозвать лицензию на сбор, обработку и хранение ПД.

Также, в случае, когда недовольный клиент подает иск, выполнение всех правил, может помочь выиграть разбирательство.

Сбор персональных данных через мессенджеры

Если ведение бизнеса и запрос на сбор ПД происходит с помощью различных месседжеров, то тут подключается третья сторона – операторы чата. По факту, все хранение данных происходит на сервере компании мессенджера, но ответственность все равно лежит на владельце бизнеса.

В таком случае важно проверить, как защищаются полученные данные и можно ли доверить их хранение чат-центру.

Как работать без третьей стороны при сборе ПД в мессенджерах?

Сделать подобное достаточно просто, для этого предпринимателю необходимо организовать on-premise (in-house) переподключение, чтобы вместо чат-центра данные переправлялись на личный сервер.

Такой вариант считается доступным и надежным в перенаправлении и единоличном хранении полученной информации от пользователей.

Но в то же время расходы на установление подобного оборудования, создания и настройку софта, требуются дополнительные инвестиции.

Пользоваться слугой стоит при условии большого количества получаемой информации -если масштабный бизнес напрямую зависит от клиентов, ведь они могут написать жалобу из-за утечки предоставленных данных.

Введенные изменения, ужесточившиеся правила в законе «О хранении персональных данных» заставило бизнесменов всерьез задуматься об улучшении безопасности. Для лучшего понимания, как сохранить информацию и не нарваться на санкции, требуется изучить все изменения в законе, разобраться в категориях данных и уровнях их защиты.

Источник: https://biznesovo.ru/biznes-i-zakon/kak-biznesu-pravilno-hranit-personalnye-dannye-klientov

Получение и хранение информации: соблюдение прав субъекта персональных данных

Срок хранения персональных данных клиентов

24.01.2011 Бухгалтерский ДЗЕНподписывайтесь на наш канал Вряд ли кто сможет оспорить утверждение, что персональные данные хранятся в любой организации.

В одних организациях это только информация о своих сотрудниках, в других – есть информация о клиентах, в третьих – сформированы целые информационные базы, в которых присутствует информация о физических лицах, полученная различными способами и в различных целях (например, в целях формирования базы потенциальных клиентов).

Однако далеко не всегда при этом соблюдается законодательство о защите персональных данных. В каких случаях необходимо получать согласие от субъекта персональных данных, сколько времени можно хранить сведения персонального характера? В настоящей статье методисты фирмы “1С” отвечают на эти вопросы.

В соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ “О персональных данных” субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.

Напомним, что согласно статье 3 указанного выше Федерального закона персональными данными (далее – ПДн) признается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Рассмотрим два простых примера, иллюстрирующие обязательный и добровольный характер предоставления данных.

Специалист устраивается на работу. Работодатель требует представить ряд необходимых сведений (в том числе, паспортные данные, сведения о прописке, ИНН, номер страхового свидетельства в ПФР). Несомненно, что будущий сотрудник обязан предоставить такие сведения при оформлении трудового соглашения в целях соблюдения норм ТК РФ, а также требований налогового и пенсионного законодательства. Соответственно, в данном случае согласие на обработку персональных данных, получение которых необходимо в целях соблюдения действующего законодательства, не требуется.
Специалист претендует на вакантное место в организации и заполняет анкету, предоставленную потенциальным работодателем. Обязан ли соискатель на должность предоставлять данные персонального характера? С одной стороны, ответ очевиден: ни один работодатель не возьмет на работу человека, не ознакомившись с его персональными данными. С другой стороны, действующее законодательство не содержит требований об обязательном предоставлении сведений кандидатом на работу. В ряде случаев может быть найден компромисс. Например, в предварительной анкете указываются фамилия, имя, отчество, возраст, город проживания и сведения, имеющие отношения к профессиональным навыкам. Такие сведения как место жительства, номер паспорта, дата рождения и т. п. не указываются. Если в анкете кандидата указываются данные, позволяющие идентифицировать человека, получать согласие от субъекта персональных данных будет необходимо.

С учетом приведенных двух примеров можно говорить, что предоставление данных может быть обязательным и добровольным.

Обязательное предоставление данных может быть предусмотрено федеральными законами (например: Федеральным законом от 01.04.

1996 № 27-ФЗ “Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования”) в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в пункте 2 статьи 9 Федерального закона “О персональных данных”).

В большинстве же случаев мы предоставляем персональные данные в добровольном порядке. При этом в ряде случаев получение согласия субъектов ПДн на обработку ПДн не требуется.

В соответствии с пунктом 2 статьи 6 Федерального закона № 152-ФЗ без получения согласия субъекта ПДн может осуществляться обработка персональных данных в следующих случаях:

  • на основании федерального законодательства;
  • в целях исполнения договора с субъектом персональных данных;
  • в статистических или научных целях;
  • для защиты жизни, здоровья субъекта персональных данных;
  • для доставки почтовых отправлений организациями почтовой связи;
  • в ходе профессиональной деятельности журналиста, ученого;
  • в отношении ПДн, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПДн лиц, занимающих государственные должности, должности гражданской службы, ПДн кандидатов на выборные государственные должности.

Вместе с тем применять приведенные выше исключения необходимо с “должной степенью осмотрительности”, так как на оператора возлагается обязанность представить доказательство получения согласия субъекта персональных данных на обработку его данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными.

Логично предположить, что наиболее часто персональные данные будут предоставляться в целях исполнения договора с субъектом персональных данных (например, при заключении договора бытового подряда).

В соответствии с пунктом 4 статьи 9 Федерального закона № 152-ФЗ согласие субъекта ПДн на обработку своих персональных данных должно включать в себя:

  • фамилию, имя, отчество, адрес субъекта персональных данных; номер основного документа, удостоверяющего его личность; сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также порядок его отзыва;
  • собственноручную подпись субъекта ПДн.

Несмотря на кажущуюся простоту, выполнить все требования, предусмотренные Федеральным законом, не так просто.

Наибольшую сложность вызывают указание информации в отношении 3-6 позиций. Проанализируем данные позиции.

Другим вопросом, имеющим отношение к документации оператора ПДн, является вопрос о сроках хранения персональных данных. В отношении персональных данных можно говорить о трех способах определения срока хранения информации, который может быть определен:

  • нормативным правовым актом;
  • достижением цели обработки данных;
  • решением субъекта.

Наиболее простая ситуация имеет место, в случае если срок хранения установлен в согласии субъекта. В такой ситуации стоит лишь помнить, что субъект ПДн не может указать срок меньший, чем предусмотрен нормативным правовым актом, устанавливающим срок хранения информации.

Например: Перечнем типовых управленческих документов, образующихся в деятельности организаций с указанием сроков хранения, утвержденным руководителем Федеральной архивной службы России 15.08.

1988, установлены следующие сроки хранения документов в части расчетов с работниками организации:

  • лицевые счета (форма Т-2) – 75 лет;
  • расчетные (расчетно-платежные) ведомости – 5 лет;
  • книги учета депонированной заработной платы, журналы регистрации исполнительных листов – 5 лет;
  • исполнительные листы – до минования надобности; справки, представляемые в бухгалтерию на оплату учебных отпусков, получения льгот по налогам и другие – до минования надобности;
  • договоры, соглашения (хозяйственные, операционные, трудовые и другие) – 5 лет.

В зависимости от сферы деятельности необходимо анализировать нормативные правовые акты, определяющие сроки хранения документов, содержащих персональные данные.

Источник: https://buh.ru/articles/documents/14684/

5 шагов по организации учета и хранения персональных данных

Срок хранения персональных данных клиентов

Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1.  из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. 

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://School.Kontur.ru/publications/1583

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.