Как хранить персональные данные клиентов в организации
Перейти к содержимому

Как хранить персональные данные клиентов в организации

  • автор:

Персональные данные: как хранить, обрабатывать и защищать по закону

Персональные данные (ПДн) — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Рассказываем в материале Selectel, о типах ПДн, как правильно их хранить, обрабатывать и законно защищать.

Что относится к персональным данным, а что нет

Чтобы определить, что такое ПДн и как с ними работать, обратимся к Федеральному закону №152-ФЗ «О персональных данных». В законе есть следующее определение персональных данных:

«Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу»

Телефон, email, фотография, ФИО — всё это может считаться ПДн.

Также к ПДн можно отнести:

  • национальность;
  • политические, философские и религиозные взгляды;
  • место регистрации;
  • информацию о здоровье, отпечатки пальцев и образцы голоса;
  • информация о судимостях;
  • номер телефона и электронная почта;
  • СНИЛС, ИНН и паспортные данные;
  • ссылки на личные страницы и cookies.

Но есть нюансы. В совокупности друг с другом эти данные могут считаться ПДн, а по отдельности — не всегда. Например, сам по себе адрес электронной почты не ПДн — это абстрактные данные. Но адрес почты «[email protected]», который принадлежит Петрову Петру Петровичу — это ПДн.

Аналогично с телефоном — сам по себе номер это не ПДн. Но если в базе телефонного оператора указано, что владелец номера +7999-999-99-99 — Петров Петр Петрович, то это уже персональные данные. По ним оператор идентифицирует владельца.

Фотография человека всегда является ПДн, однако они не всегда являются биометрическими ПДн, на сбор которых требуется письменное согласие. К примеру, фотография на пропуске — это ПДн, потому что требуется для сверки с лицом человека при входе.

Фамилия, имя и отчество тоже не всегда ПДн. Например, когда мы не знаем человека и без дополнительной информации затруднительно его идентифицировать. Информация «Петров Петр Петрович» ничего нам не говорит — полных совпадений может быть сотни. Но если у нас есть сопоставление, что у Петрова Петра Петровича номер телефона +7-999-999-9999, то это уже ПДн.

Часто ФИО задает контекст и становится ключевой частью в персональной информации, без которой большая часть данных теряет смысл. Например, когда мы анонимно опрашиваем посетителей сайта о размере зарплаты, то не собираем ПДн. Но если через опрос мы выясняем фамилии и имена, то эта информация уже ПДн.

Полного списка ПДн нет. Данные из списка не всегда относятся к ПДн. Поэтому в 152-ФЗ нет эталонного перечня информации, или законченного списка, по которому было бы понятно, из чего состоят персональные данные. Причина в том, что они зависят от контекста.

Если по набору информации можно идентифицировать человека, как личность, то это ПДн. Если для идентификации нужна дополнительная информации — набор данных уже не ПДн.

Примечание. 152-ФЗ не уникален. В Европе действует его аналог — Регламент по защите ПДн (GDPR). GDPR похож на 152-ФЗ, но есть и различия. Например, в GDPR ПДн считаются не только адрес, ФИО или геолокация, но и религиозные, философские, политические взгляды.

Типы персональных данных

Постановление правительства №1119 делит ПДН на 4 категории для информационных систем:

  • общедоступные;
  • специальные;
  • биометрические;
  • иные.

Хранение персональных данных клиентов в российском информационном поле

Вопрос хранения персональных данных клиентов заботит любую компанию, особенно если речь идет о передаче данной информации в электронном виде. Если вы являетесь владельцем интернет-магазина, блога с комментариями или e-mail—рассылки, на вас распространяется действие закона о защите персональных данных. А еще к вам в любой момент может обратиться Роскомнадзор и поинтересоваться, насколько надежно хранится у вас эта информация.

Онлайн-чат для сайта

При отсутствии должной защиты данные могут стать добычей интернет-взломщиков, которые регулярно пополняют базы для последующей перепродажи спамерам и прочим «любителям» холодных безадресных рассылок. Ваша же компания получит большой штраф, размер которого может достигать 300 тысяч рублей, а также значительный «репутационный» скандал. Если вас беспокоит не только потеря значительной суммы, но и реноме, обязательно читайте эту статью до конца.

Какие данные клиентов считаются персональными

В соответствии с российским законодательством каждая организация, которая занимается сбором персональных данных клиентов (сокращенно ПДн), вне зависимости от ее волеизъявления, является оператором ПДн. В этом статусе у компании появляются официальные обязательства по осуществлению определенных процедур. Самостоятельно нести такую ответственность желают и могут далеко не все фирмы.

Что такое CRM-маркетинг для бизнеса

Данное решение вполне обоснованно, поскольку практическая деятельность показывает абсолютную новизну и почти нулевое использование в реальных обстоятельствах правил об использовании личных данных. Вопросы и проблемы возникают даже у специалистов.

Какие данные клиентов считаются персональными

Личные данные включают сведения о человеке и информацию о его работе, таких как:

  • Ф. И. О.;
  • дата рождения;
  • номер телефона;
  • место жительства;
  • e-mail;
  • ссылки на аккаунты в соцсетях;
  • наименование работодателя;
  • название должности.

Нюансы работы с персональными данными клиентов в российских реалиях

Что же считается персональными данными? Точного определения пока не существует. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций и Министерство цифрового развития, связи и массовых коммуникаций так и не обозначали границы данного понятия. Исходя из законодательных актов и материалов судебного делопроизводства, можно сформулировать, что личные данные представляют собой информацию «в связках». То есть по отдельности Ф. И. О., номер телефона и e-mail считаются простой информацией. Но, допустим, те же Ф. И. О. и телефонный номер в паре, а сочетание адреса, Ф. И. О. и должности представляют собой уже персональную информацию. Примеры «связок»:

  1. Елена, 8-756-899-11-90;
  2. Дмитрий, 15.08.1988, сварщик;
  3. кассир, ЗАО «Большая равнина».

Такую информацию Роскомнадзор считает персональной.

Закон не расценивает персональной информацию, выложенную самим человеком по доброй воле в открытый доступ. Ф. И. О. и номера телефонов, взятые из справочников типа «Желтые страницы», соцсетей и других подобных источников – это не персональные данные. Исключение – социальная сеть «ВКонтакте», данные пользователей которой Роскомнадзор запретил собирать и обрабатывать.

Например, центр опросов «Голд Системы» собирает в соцсетях базу покупателей и заносит в нее данные о пользователях, их контакты. Операторы компании потом звонят людям из этой базы с целью рекламы своих продуктов.

Эти сведения считаются персональными, и в теории данная организация должна подготовить для Роскомнадзора отчет по своей деятельности. Если использовать для сбора данных все социальные сети, кроме «ВКонтакте», то отчитываться перед контролирующим органом не нужно.

Хранение персональных данных

При заключении договора все указываемые потребителем сведения тоже считаются персональными. Если они удаляются сразу после завершения работ по договору, то отчет для Роскомнадзора не потребуется. Чтобы не нарушать закон, данные должны быть уничтожены без промедления.

Например, ИП Владимира Шарова занимается продажей воздушных шариков. Клиенты заключают с ним договор с указанием Ф. И. О., телефона, электронной почты и адреса. Предприниматель использует e-mail и номер телефона для рассылки рекламных предложений.

Личные данные Шаров собирает с целью оформления договора, но после завершения сделки продолжает их хранить. Следовательно, Роскомнадзор потребует с него отчет, поскольку закон определяет срок хранения персональных данных клиентов. Если Владимир отчитываться не хочет, то он обязан удалять информацию о своих покупателях после окончания контракта.

По закону сбор и хранение избыточных персональных данных запрещен. Допустим, продавец шаурмы собирает номера телефонов и Ф. И. О. потребителей для рассылки приглашений в свое кафе. Однако он не имеет права узнавать сведения о должности и месте работы клиентов, которые не нужны для данной рассылки. За подобное нарушение предпринимателя могут оштрафовать.

На какие категории разделяют персональные данные клиентов

Постановление № 1119 Правительства РФ гласит, что персональные данные граждан делятся на три группы, исходя из которых определяется степень их защиты:

  1. Религиозные, философские, политические взгляды, а также информация о личной и интимной жизни человека, сведения о гражданстве к специальной категории.
  2. Фото, отпечатки пальцев, рост, вес, другие физические параметры и биологические сведения относятся к биометрической категории.
  3. Персональные данные, выложенные самими гражданами в открытый доступ, например, анкеты в соцсетях, относятся к общей категории.

Остальные сведения, не входящие в три основные разряда, – это другие группы.

Бесплатный плагин геотаргетинга для сайта

Существуют типы по количеству людей, данные которых хранятся одновременно:

  • менее 100 000 субъектов;
  • более 100 000 субъектов.

Исходя из принятых классификаций, определяется и необходимый уровень защиты личных данных.

Почему персональные данные клиента нужно защищать

Почему персональные данные клиента нужно защищать

Персональные данные находятся под угрозой, когда возникает риск их утери или обнародования. Наиболее часто возникают такие ситуации, как:

  • сбой операционных систем, их незащищенность от действий лиц со злым умыслом;
  • проблемы в функционировании программного обеспечения, которое защищает ПДн;
  • человеческие ошибки, например, забыли закрыть доступ, не выключили компьютер, упустили проблемную ситуацию.

Хранение персональных данных клиентов в зависимости от способа сбора

От системы сбора персональных данных зависят способы их хранения. Информация классифицируется ручным способом посредством Интернета или сканов клиентской документации.

Если ПД собраны через Интернет.

Данные посредством Сети могут собираться с помощью виджета Envybox под названием «Захватчик клиентов».

Когда человек заносит личные сведения в формы заказов и подписок на сайте, его персональные данные попадают в Интернет. Вся информация из онлайн-форм сохраняется на сервере. Защиту этих материалов обеспечивает провайдер. Поэтому оптимальным местом нахождения базы личной информации считается сервер в России.

Если ПД собраны вручную.

Данные собираются вручную, например, в различных салонах красоты, посредством заполнения клиентами анкет, где они указывают свои имена и контакты для получения рекламных сообщений. Там же подписывается согласие на обработку ПДн. Личные сведения работники заносят в базу, которая оформляется в Excel-таблице или в системе CRM.

Если ПД отсканированы.

Когда организации для работы требуется сканирование документов, например, паспортов клиентов, то эти оттиски тоже необходимо где-то хранить, обычно для этого используется облачное хранилище или в локальной сети, а также на жестком диске ПК или съемном носителе.

Если ПД собраны на бумаге.

Если персональные данные зафиксированы в бумажном варианте в виде согласия абонентов на их обработку, а также договоры, копии паспорта, страхового свидетельства и т. д., их хранят в закрытом хранилище. Это могут быть шкаф или сейф, которые располагаются в запираемом помещении. Право доступа к документам дается только определенной категории сотрудников.

Как интегрировать CRM с Google Analytics

Хранение персональных данных клиентов в организации на бумажном носителе осуществляется в папках, которые делятся на несколько групп в зависимости от цели сохранения. Нужно учитывать, что ПДн работников и покупателей не находятся рядом. Сведения о клиентах также могут подразделяться на группы. В идеале для хранения каждой группы должно быть организовано отдельное место.

Правила сбора и хранения персональных данных клиента

При хранении персональных данных клиентов вы можете уклониться от требований российского законодательства, либо следовать всем правилам.

Правила сбора и хранения персональных данных

  • Чтобы избежать ответственности, надо либо удалить со своего интернет-ресурса форму для внесения контактов, либо оставить в ней строку указания адреса электронной почты для рассылки или строку номера телефона для сбора заказов. В этом случае Роскомнадзор не заинтересуется данной организацией и ее сайтом.
  • Чтобы сделать все по закону, следует выполнить следующее:
  1. Зарегистрировать оператора ПДн на сайте Роскомнадзора. Для этого надо отправить заявление в электронном и письменном виде. Это очень просто: вбейте необходимую информацию в электронную форму и получите заявление – заполните его и отправьте. Затем распечатайте бумажный вариант, который надо отправить в ближайшее отделение Роскомнадзора посредством Почты России.
  2. Готовые документы сохраните – предъявите их при проверке сотрудникам Роскомнадзора.
  3. Необходимо обязательно предупредить своих пользователей о том, что вы храните их персональные данные, поэтому они должны согласиться с вашей политикой конфиденциальности. Ссылку следует размещать в удобном месте: внизу страницы, в шапке либо она должна появляться сразу при регистрации на вашем веб-ресурсе – главное, чтобы клиент ознакомился с информацией до того, как он отправит личные сведения.

Подробный порядок работы с данными пользователей должен быть закреплен в соответствующих документах вашей компании. В них следует расписать способы защиты, вид и место хранения персональной информации, список лиц, которые могут с ней работать, дату уничтожения.

Существует еще ряд важных моментов, которые необходимо учитывать:

  1. Личные данные не передаются третьим лицам. Все папки защищаются паролем при хранении на сервере, в сети или на компьютере. В бумажном виде информация хранится в сейфе.
  2. Персональные данные уничтожаются в течение тридцати дней после закрытия заказа. Допустим, организация установила окна по договору. После этого она должна удалить имя и телефон заказчика из своей базы.
  3. Если вы хотите сохранить сведения о клиенте для последующего их использования, то обязаны запросить его бессрочное согласие. Однако это соглашение можно расторгнуть в любое время, потребителю достаточно написать заявление на имя руководителя предприятия о запрете использования его данных.
  4. Для разных целей следует формировать несколько клиентских баз. Допустим, 60 покупателей интернет-магазина согласны на рассылку рекламы по e-mail, а 110 оставили свои данные для получения подарочной скидки. То есть ПДн предоставлены для двух целей, следовательно, по закону требуется создать две базы пользователей. Сливать все данные в одну группу нельзя.

Быстрые (готовые) ответы в Онлайн-чате

Что вам грозит за несоблюдение требований по хранению персональных данных клиентов

Контролирующий орган обычно проводит плановые проверки, но могут возникнуть и непредвиденные ситуации, допустим, поступили обращения от покупателей или конкурирующих организаций. Роскомнадзор в этом случае проверит обращение, все документы, просмотрит пользовательское соглашение и уведомления на сайте.

Штрафные санкции

При несоответствиях требованиям закона налагаются штрафные санкции:

  • для физических лиц – 5 000 рублей;
  • для работников компании в случае невыполнения должностных обязанностей – 25 000 рублей;
  • для индивидуальных предпринимателей – 100 000 рублей;
  • для юридических лиц – 300 000 рублей.

При этом штрафы могут суммироваться. Допустим, четыре работника не выполнили свои обязательства по отношению к персональным данным клиентов, значит, они получат суммарный штраф в размере 100 000 рублей.

Выставление счетов в CRM: больше оплат от Ваших клиентов

Ответы на вопросы о хранении персональных данных клиентов

Серверы с данными находятся за границей. Нужно ли подавать уведомление? Следует ли переносить данные на российские серверы?

Я храню и обрабатываю cookie-файлы. Я оператор?
Я собираю геоданные пользователей. Я оператор?

ПД в мессенджерах

А что делать, если сбор персональных данных идет через мессенджеры?
Как работать без третьей стороны при сборе ПД в мессенджерах?

Озвучивание Utm-меток в Обратном звонке на сайте: как увеличить заявки?

Это надежный и несложный способ хранения ПДн одним лицом. Однако потребуются материальные затраты, чтобы создать, настроить, установить софт и сопутствующее оборудование. Поэтому такой способ сбора персональных данных без третьей стороны рационально использовать в случае большого потока входящей информации и зависимости бизнеса от покупателей. Именно клиенты обычно жалуются на утечку личных сведений.

Законодательный акт «О хранении персональных данных» был изменен, принципы его стали более строгими. Чтобы знать, как хранить личные данные пользователей и при этом делать все по правилам, следует разобраться в законе, научиться разделять категории данных и понимать уровни их защиты.

Хранение персональных данных клиентов

Хранение персональных данных клиентов

Решая проблему хранения и защиты персональных данных в организации, нужно отдельно уделить внимание организации процесса работы с информацией, получаемой от клиентов. Несмотря на то, что в отношении подобных сведений действуют те же принципы, что и для ПДн сотрудников, в данном вопросе присутствует множество тонкостей, в особенности если речь идет об интернет-магазинах, блогах, форумах или фирмах, заключающих контракты онлайн. Решение данных вопросов займет немало времени и усилий, однако в этом случае со стороны проверяющих структур не будет возникать претензий в части обработки ПДн (минимизация рисков наложения штрафов), а заказчики смогут быть уверенными в надежности организации.

Что подразумевают под ПДн клиентов?

По мере усиления контроля со стороны государства в сфере сохранения конфиденциальности информации о гражданах все больше компаний осознают необходимость исполнения своих обязанностей в качестве оператора ПДн. Но для того, чтобы выполнить все требования, прописанные в ФЗ-152 и других нормативно-правовых актах, нужно разобраться, что входит в состав персональных данных клиента. Сложностей добавляет тот факт, что границы данного понятия до конца не определены, хотя в законе прописано четкое определение. На практике к числу обрабатываемых и хранимых личных сведений фирмы могут относить:

  • информацию об устройстве пользователя;
  • Ф.И.О., дату рождения и место жительства;
  • пол, гражданство, образование и семейный статус;
  • место работы, регион и отрасль деятельности;
  • должность и уровень дохода;
  • сведения из гражданского или заграничного паспорта;
  • мобильный, стационарный номер и адрес электронной почты;
  • данные о входе на сайт, длительности посещения, пользовательских действиях (кликах, источнике входа, заполнении полей, просмотрах видео и баннеров, открытия страниц, cookie-идентификации);
  • информацию о наличии детей (их количестве, поле, возрасте).

Чтобы не нарушать правовые нормы, все виды ПДн клиентов нужно прописать во внутреннем документе предприятия — порядке хранения и защиты, а также указать их при регистрации в Роскомнадзоре. Если получать и сохранять персональную информацию о субъектах шире заявленного перечня, то есть риск получения штрафов и существенного репутационного ущерба. В законодательстве присутствует одна особенность, которая заключается в том, что каждая разновидность информации не подпадает под понятие ПДн. Лишь совокупность сведений, по которому можно идентифицировать субъекта, как персону можно отнести к ПДн, например, данные о номере телефона номер телефона в сочетании с информацией об имени человека с названием компании, в которой он работает. Также под категорию персональных не подпадают сведения, размещенные их владельцем в социальных или иных сетях общего доступа, за исключением «ВКонтакте».

Во всех остальных случаях действуют положения ФЗ-152 и подзаконных актов, которые оператору нужно выполнять.

Важность обеспечения защиты личной информации

Государство требует от операторов уничтожать или обезличивать ПДн после достижения целей их обработки, при этом период их хранения может быть весьма длительным. С момента получения от субъекта идентифицирующей информации компания несет ответственность за её безопасное хранение, что предполагает разработку и внедрение определенных защитных мер, а также использование специальных средств. Этому аспекту деятельности нужно уделять особое внимание, поскольку персональные данные могут быть обнародованы, утеряны или переданы третьим лицам без согласия владельца. Эффективная политика защиты позволяет избежать:

  1. Промышленного шпионажа.
  2. Человеческих ошибок.
  3. Сбоев в функционировании программного обеспечения.
  4. Неполадок в работе операционных систем.

Детально о том, как правильно хранить персональные данные клиентов

Независимо от специфики деятельности организации, в отношении операций с ПДн, включая хранение, нужно руководствоваться прописанными в законодательных актах правилами:

  • пройти регистрацию на официальном портале Роскомнадзора, задекларировав и подтвердив статус оператора. Кроме электронного обращения потребуется подать заявление в письменной форме (лично приходить необязательно, можно отправить по почте в соответствующее территориальное подразделение РКН);
  • уведомить субъектов о сборе их ПДн и получить их согласие. Если речь идет об интернет-ресурсах, то письменно это делать не нужно, но на сайте обязательно должно быть пользовательское соглашение с пометкой о том, что, пользуясь сервисом, человек автоматически дает согласие на обработку его личных данных;
  • разработать и использовать внутренние документы, регулирующие доступ и защиту конфиденциальных сведений. Все акты, положения, руководства и т.д. должны быть подписаны директором предприятия. Также нужно будет назначить лиц, ответственных за безопасность ПДн, и закупить средства защиты.

Юридически безопаснее не размещать на сайте формы для заполнения, а оставить ссылку либо е-мейл для отправки сведений.

Условия и особенности хранения данных о клиентах напрямую зависят от того, каким образом они были собраны:

  1. Если ПДн получены с помощью Интернета, то они попадают на сервер, и ответственность за их безопасность несет хостинг-провайдер, с которым должно быть заключено соглашение о поручения обработки ПДн, при этом по закону сведения должны размещаться на серверах на территории Российской Федерации.
  2. Отсканированная информация может размещаться на съемных носителях, внешних или внутренних жестких дисках, в локальной сети либо в облаке. Последнее время многие организации выбирают именно последний вариант ввиду его экономичности и простоты доступа, однако необходимо быть предельно внимательными, выбирая хранилище с высоким уровнем защиты от взлома.
  3. Сведения, собранные благодаря анкетам и опросникам, заносят в электронные базы — преимущественно используются CRM и Excel.
  4. ПДн в бумажном виде должны помещаться в металлические запирающиеся шкафы либо сейфы, которые должны находиться в помещении, куда имеют доступ лишь уполномоченные сотрудники. С точки зрения удобства есть смысл организовать отдельное место для хранения каждой группы данных.

Наказание за нарушение требований законодательства в отношении ПДн

За проверку условий хранения и защиты личных сведений граждан в организациях отвечает, прежде всего, Роскомнадзор, специалисты которого могут прийти к вам с плановым или внеплановым визитом (например, если поступило заявление о том или ином нарушении). На этот случай на предприятии должны быть внедрены и соблюдены организационные и технические меры защиты персональных данных. Организационные мероприятия внедряются после разработки организационно-распорядительной документации, которая описывает все бизнес-процессы предприятия в части обработки персональных данных. К техническим относится определение уровней защищенности информационных систем персональных данных на основе моделей угроз. В соответствие с уровнем защищенности подбираются и устанавливаются на компьютеры необходимое программное обеспечение для защиты.

Будьте готовы к тому, что проверяющие захотят увидеть сейфы и помещения, где находятся папки с договорами и т.д., а также убедиться в наличии пользовательского соглашения на интернет-ресурсе. Также контролирующие органы могут запросить воочию продемонстрировать каким образом и какие данные вносятся в ваши ИСПДн.

Обнаружение нарушений предполагает назначение штрафов в размере до 300 тысяч рублей. Минимальное наказание предусмотрено для физических лиц. При этом сумма может увеличиться в несколько раз, если нарушений много. Оспаривать решение контролирующего органа долго и, как правило, безрезультатно, поэтому разумнее изначально адаптировать работу компании под установленные требования. Проще всего это сделать, обратившись к экспертам в Центр безопасности данных.

Нюансы, которые нужно принимать во внимание

Разбираясь, как хранить персональные данные клиентов, следует учесть:

  1. Выполнив заказ на поставку товара или предоставление услуги, организация должна в течение 30 дней после завершения сделки (либо после закрытия, предусмотренного договором окна по срокам) уничтожить собранные и хранимые ПДн
  2. Запрещается передача идентифицирующих сведений о гражданах третьим лицам, за исключением случаев, прописанных в ФЗ-152
  3. Для добавления в клиентскую базу с целью дальнейшего сотрудничества нужно получить у субъекта бессрочное согласие. При этом нужно принимать в расчет, что гражданин может в любой момент отозвать его, подав соответствующее заявление
  4. Формирование базы данных должно осуществляться для выполнения какой-то одной цели сбора и обработки информации

Даже при получении сведений через мессенджеры вы не освобождаетесь от ответственности за их сохранность несмотря на то, что фактически ПДн находятся на сервере другой фирмы

Хранение персональных данных

Хранение персональных данных

Грамотное организованное хранение документов, содержащих персональные данные, — залог того, что конфиденциальная информация о сотрудниках, клиентах и в целом деятельности организации не попадет в руки посторонних лиц. Ответственность за определение правил, места размещения и защиты информации ложится, согласно закону, на работодателя, однако не все четко понимают, о каких нюансах нужно позаботиться. Добавляют сложностей постоянные дополнения и корректировки нормативно-правовых актов, которые приходится отслеживать, чтобы не получить штраф и не попасть в эпицентр скандала, связанного с распространением личных сведений граждан.

Разберемся, как и где хранить персональные данные, чтобы спокойно проходить проверки и поддерживать имидж серьезной компании, которая заботится об информационной безопасности. Более конкретные рекомендации работодатели или их представители могут получить, воспользовавшись услугами наших экспертов, которые проанализируют текущее положение дел и составят список необходимых изменений.

Существуют ли четкие правила хранения персональных данных?

Многие начинающие бизнесмены полагают, что для урегулирования вопросов, касающихся операций с ПДн, есть четкие инструкции, используя которые получится сформировать четкие правила и привести деятельность в соответствии с законодательными требованиями. На практике единого подхода к решению вопроса нет. Это значит, что каждый руководитель или ИП самостоятельно (или делегируя обязательства на заместителя либо руководителя отдела кадров):

  • разрабатывает регламент хранения персональных данных;
  • определяет, где они будут находиться;
  • подбирает и одобряет предпринимаемые меры защиты и ограничения доступа;
  • назначает сотрудников, которые будут нести ответственность за контроль операций с личными сведениями;
  • выбирает те или иные виды наказаний за нарушения правил;
  • подписывает внутренние распоряжения.

Ответственный подход на начальном этапе дает возможность в будущем не вносить радикальных изменений даже при изменении нормативно-правовой базы. Для того, чтобы все сделать правильно, необходимо принимать в расчет актуальные предписания относительно работы архивов, ограничения доступа к информации разных категорий сотрудников, а также ранее установленный порядок сбора и обработки ПДн (он должен быть закреплен в локальном акте или распоряжении). Еще один существенный момент заключается в том, чтобы политика по данному вопросу учитывала способ выполнения операций (в рамках ИСПДн либо на бумажных носителях).

Важные нюансы, связанные с порядком хранения персональных данных

Для того чтобы гарантировать сохранность и секретность ПДн, необходимо:

  1. Четко определить условия хранения персональных данных на бумажных носителях и в электронном виде. Речь идет не только о месте, но и установлении режима доступа туда для разных категорий сотрудников.
  2. Выбрать людей, которые будут отвечать за конкретные аспекты, связанные с сохранением информации.
  3. Провести разъяснительную работу с персоналом, объяснив степень важности ограничений и правил использования ПДн в рамках профессиональной деятельности, а также дав четкие инструкции, как действовать в той или иной ситуации.
  4. Продумать средства защиты для сейфов, шкафов с замками, а также заняться внедрением специализированного программного обеспечения.
  5. Если ведется работа с биометрическими данными, то дополнительно продумать механизмы контроля и ограничения доступа в соответствии с Правительственным постановлением № 512, вступившем в силу в 2008 году.

При урегулировании вопроса хранения личной информации необходимо понимать, что это не однократная работа, а постоянные усилия, направленные на поддержание информационной безопасности. Каждый год появляются новые угрозы и требования, которым приходится соответствовать, чтобы, во-первых, не платить огромные штрафы, а во-вторых, чтобы не быть хуже конкурентов и рассчитывать на доверие со стороны клиентов и партнеров.

Какой должна быть система хранения персональных данных

Основная нагрузка по работе с ПДн ложится на плечи кадрового департамента, поэтому его работники должны иметь точное представление о том, что и как делать для предупреждения несанкционированного доступа. Законодательной базой является Конституция, ФЗ-152, ФЗ-149, Трудовой Кодекс и другие нормативные акты. Особое внимание должно уделяться срокам хранения, передачи и обработки персональных данных. На сегодняшний день правовые нормы определяют следующие требования:

  • 3 года предприятие имеет право и обязано хранить заявления о трудоустройстве либо увольнении, письма с рекомендациями, автобиографии, указы о переводе на другую должность, анкеты;
  • на протяжении пяти лет сохраняются докладные, служебные записки, командировочные листы, разнообразные справки (которые не включаются в личное дело), а также приказы и выписки;
  • финансовая информация (связанная с выдачей зарплаты, премиальных, пособий и т.д.) находится в архиве 75 лет.

Существует разница между сроком действия согласия на обработку ПДн и длительностью сохранения самих данных. Хранение персональных данных — это процесс, регулируемый законодательством, решением владельца и целями использования сведений. ФЗ-152 закрепляет обязанность оператора сразу после достижения цели обработки обезличить и уничтожить полученные данные.

Все работники, как штатные, так и внештатные, которые работают с личными сведениями, должны подписать соглашение о неразглашении. Типовой документ необходимо предварительно адаптировать под особенности деятельности фирмы.

Сбор, обработка и хранение персональных данных на бумажных и электронных носителях

Выделяют сведения о субъектах, сохраняемые в бумажном и электронном виде. Каждый вариант есть свои плюсы, минусы и особенности. Нередко информация дублируется для эффективного выполнения рабочих задач и в целях безопасности.

  1. Электронное хранение предполагает создание защищенных ИСПДн, которые в автоматическом режиме фиксируют и обрабатывают большие массивы данных. В таком случае не нужно много места или закупки закрывающихся шкафов и сейфов, а отыскать интересующие сведения можно за пару секунд, к тому же при серьезном подходе к обеспечению защиты нет риска кражи или утечки ПДн. Из недостатков следует отметить наличие затрат на оснащение современным программным обеспечением, потребность в постоянном создании резервных копий, а также регулярное обновление оборудования.
  2. Правила хранения персональных данных на бумажных носителях предполагают размещение личных дел в сейфах в алфавитном порядке в зависимости от регистрационного номера. Остальные сведения размещаются согласно внутреннему регламенту, то есть работодатель может сам выбрать место для папок-накопителей, определить ответственных за безопасность сотрудников и установить ограничение доступа. К плюсам бумажных носителей можно отнести оптимизацию учета ПДн, минимальное время поиска информации. К минусам можно отнести существенные финансовые расходы на сейфы, необходимость дополнительного обучения новых сотрудников отдела кадров, потребность в большом свободном и защищенном пространстве (если фирма большая и личных дел много).

Обработка и хранение персональных данных: составление внутренних правил

Документ преимущественно составляют по шаблону, внося некоторые корректировки в зависимости от формы, способа фиксации ПДн и других особенностей деятельности организации. Основные разделы:

  • общие положения;
  • способы выявления и профилактики несанкционированного доступа и распространения ПДн;
  • цели обработки и содержание хранимой личной информации;
  • категории субъектов;
  • сроки обработки и сохранения сведений;
  • механизм уничтожения информации;
  • ответственность за нарушение правил.

После внедрения правил хранения персональных данных в информационных системах и на бумажных носителях необходимо убедиться в том, что:

  • уровень защиты достаточно высокий и соответствует актуальным угрозам;
  • все сотрудники дали согласие на совершение операций с личными сведениями;
  • принятые локальные акты соответствуют федеральному законодательству;
  • содержание внутреннего документа, регулирующего хранение и обработку ПДн, донесено до персонала (каждый должен поставить подпись).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *