Срок действия согласия на обработку персональных данных
С убъектам хозяйствования, независимо от формы собственности, необходимо собирать, обрабатывать, хранить персональные данные (ПДн) работников, партнеров по бизнесу и других лиц. Получать согласия на обработку персональных данных нужно с соблюдением требований законодательства. Оператору также нужно знать, сколько может действовать такое согласие, чтобы при выполнении любых действий с ПДн не нарушать требования законодательных актов.
Срок действия согласия
Хранить и обрабатывать личные данные оператор может на протяжении некоторого срока. Для этого нужно получить у субъекта ПДн одобрение на их использование, в котором указывается период его действия. Но в законе о персональных данных № 152 не указываются эти граничные сроки (гл. 2 з-на). Соответственно, нужно установить этот срок, опираясь на взаимно подписанное соглашение.
Предусматривается три варианта фиксации срока такого разрешения:
1. Можно установить ограниченное время на использование и хранение ПДн, прописав конкретную дату, до которой разрешение будет юридически законным. В таком случае нужно учитывать, что по окончании этого срока может понадобиться применить личные сведения гражданина. Но до оформления нового разрешения воспользоваться ими не разрешается, поэтому можно потерять много времени на документальные проволочки, что иногда тянет за собой проблемы. Нужно постоянно контролировать граничные сроки действия разрешения и до окончания указанной в нем даты оформить новое одобрение.
2. Следующий способ: вписать в разрешение срок действия данного документа – до реализации условий, при которых обработка ПДн будет прекращена. В согласии гражданина на обработку его ПДн нужно указать какое-либо событие вместо конкретного числа. Это может быть дата увольнения сотрудника, выполнение какой-либо услуги. Такой формат срока действия разрешения более приемлем в плане уменьшения затрат времени на бумажную фиксацию этого разрешения. Пока сотрудник не уволился, не нужно контролировать его сведения, чтобы отслеживать срок действия полученного от него согласия. Также не требуется подписывать новое разрешение, если срок старого истек.
3. Можно воспользоваться комбинированным вариантом определения срока действия согласия, при котором устанавливается дата окончания и наступления конкретного события. Примером такого способа может служить оформление займа в банке. Кредитор рассчитывает использовать сведения о заемщике на протяжении трех лет после закрытия кредита. Соответственно, в соглашении указывается срок – на протяжении трех лет с даты окончания действия договора кредитования.
Содержание согласия
В законе о ПДн № 152-ФЗ прописан ряд обязательных требований в отношении оформления согласия на пользование личными сведениями, которые нельзя игнорировать. Во время формирования согласия важно тщательно проработать и внести следующую информацию:
- цель – не каждый гражданин хочет, чтобы его личные сведения были доступны всем. Нужно указать в одобрении, с какой целью требуется обрабатывать ПДн, кто будет иметь доступ к этой информации. К примеру, если работник будет выходить на пенсию, кадровик должен передать его документы Пенсионному фонду. От оперативности передачи данных будет зависеть своевременность назначения пенсии. Но если сотрудник рассчитывает на действия с его личными данными исключительно для работы, он может проявить свое недовольство тем, что его руководством переданы сведения о нем для действий, не связанных с работой;
- отрезок времени, на протяжении которого ПДн гражданина будут использоваться. Нужно прописывать срок действия согласия на обработку персональных данных. К примеру, работник два года назад прекратил трудовые отношения с компанией, а бывший работодатель предоставляет его личные сведения в целях оформления карты для зачисления заработной платы в определенном банке. Это может привести к недовольству бывшего сотрудника. Не нужно игнорировать необходимость установки периода обработки ПДн, чтобы избежать проблем с обращением работника в судебные органы или прокуратуру;
- срок хранения документов с ПДн. Если согласие на использование персональных данных было дано для каких-либо конкретных целей, то их уничтожение должно быть произведено на протяжении 1 месяца после того, как цель достигнута. Это требование регламентировано статьей 21 ФЗ № 152. Как только стороны выполнят свои обязательства в отношении друг друга, сведения хранить не имеет смысла.
Нужно знать, что законодательство требует хранить документацию, касающуюся сотрудника, на протяжении 75 лет. Это касается и личной информации.
Продление сроков
Если необходимо продлить срок действия согласия на какой-либо период после окончания указанной в нем даты, выполнить это можно следующим образом:
- заключить дополнительное соглашение;
- сделать новое разрешение;
- внести в его текст возможность автоматического продления на конкретный период.
Чтобы избежать конфликтов, недоразумений между сторонами, лицо, уполномоченное на обработку ПДн, должно владеть знаниями о требованиях актуального законодательства и обеспечить их выполнение.
Как утвердить новое Положение о защите персональных данных?
С 1 марта 2021 года в организации поменяли Положение о персональных данных. Что делать со старыми положениями? Как правильно составить приказ, что старое положение больше не действует, а вместо него новое? Кто должен ознакомиться с приказом?
ОТВЕТ:
Как и любой другой ЛНА, Положение о ПД (далее в т. ч. Положение), которое утратило силу, выбрасывать не нужно: оно хранится в организации постоянно, т. е. весь срок существования юридического лица. Такой срок хранения установлен для локальных актов (правила, регламенты, положения и т. п.)[1].
ЛНА вступает в силу со дня его принятия работодателем либо со дня, указанного в самом ЛНА, а прекращает свое действие в связи с его отменой другим ЛНА или в связи с истечением срока (ч. 7–8 ст. 12 ТК РФ).
То есть в самом Положении о ПД можно указать, с какой даты оно начинает действовать. Если такая дата не указана, ЛНА вступает в силу с даты его утверждения работодателем. Утвердить Положение о ПД можно двумя способами:
• личной подписью руководителя организации на грифе утверждения или
Второй способ позволяет не только зафиксировать факт утверждения ЛНА и дату его вступления в силу, но и закрепить какие-либо поручения должным лицам, связанные с вводом в действие нового Положения.
С приказом об утверждении нового Положения о ПД, если он был издан, нужно ознакомить только должностных лиц, которых коснулись распоряжения. Работников знакомят непосредственно с самим Положением.
Способ ознакомления зависит от возможностей организации и сложившейся культуры:
• текст ЛНА может быть размещен на сайте компании или в доступных местах для самостоятельного прочтения или
• каждого работника лично можно знакомить с вновь принятым Положением о ПД в отделе кадров или в структурном подразделении.
Независимо от способа ознакомления работники должны своей подписью подтвердить факт ознакомления с ЛНА. Возможны варианты:
• работник расписывается в листе ознакомления, который подшивается к Положению о ПД;
• ставит подпись в специальном журнале ознакомления с локальными актами;
• подписывает УКЭП или УНЭП[3] отправленный ему файл с текстом Положения о ПД;
• подтверждает факт ознакомления с помощью сообщения по электронной почте (если такой способ ознакомления с документами закреплен на локальном уровне).
специалист по кадрам
[1] Статья 8 Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», утв. Приказом Росархива от 20.12.2019 № 236.
[2] П. 4.4 Инструкции по применению Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 237).
[3] Усиленная квалифицированная электронная подпись или усиленная неквалифицированная электронная подпись.
Хранение персональных данных
Грамотное организованное хранение документов, содержащих персональные данные, — залог того, что конфиденциальная информация о сотрудниках, клиентах и в целом деятельности организации не попадет в руки посторонних лиц. Ответственность за определение правил, места размещения и защиты информации ложится, согласно закону, на работодателя, однако не все четко понимают, о каких нюансах нужно позаботиться. Добавляют сложностей постоянные дополнения и корректировки нормативно-правовых актов, которые приходится отслеживать, чтобы не получить штраф и не попасть в эпицентр скандала, связанного с распространением личных сведений граждан.
Разберемся, как и где хранить персональные данные, чтобы спокойно проходить проверки и поддерживать имидж серьезной компании, которая заботится об информационной безопасности. Более конкретные рекомендации работодатели или их представители могут получить, воспользовавшись услугами наших экспертов, которые проанализируют текущее положение дел и составят список необходимых изменений.
Существуют ли четкие правила хранения персональных данных?
Многие начинающие бизнесмены полагают, что для урегулирования вопросов, касающихся операций с ПДн, есть четкие инструкции, используя которые получится сформировать четкие правила и привести деятельность в соответствии с законодательными требованиями. На практике единого подхода к решению вопроса нет. Это значит, что каждый руководитель или ИП самостоятельно (или делегируя обязательства на заместителя либо руководителя отдела кадров):
- разрабатывает регламент хранения персональных данных;
- определяет, где они будут находиться;
- подбирает и одобряет предпринимаемые меры защиты и ограничения доступа;
- назначает сотрудников, которые будут нести ответственность за контроль операций с личными сведениями;
- выбирает те или иные виды наказаний за нарушения правил;
- подписывает внутренние распоряжения.
Ответственный подход на начальном этапе дает возможность в будущем не вносить радикальных изменений даже при изменении нормативно-правовой базы. Для того, чтобы все сделать правильно, необходимо принимать в расчет актуальные предписания относительно работы архивов, ограничения доступа к информации разных категорий сотрудников, а также ранее установленный порядок сбора и обработки ПДн (он должен быть закреплен в локальном акте или распоряжении). Еще один существенный момент заключается в том, чтобы политика по данному вопросу учитывала способ выполнения операций (в рамках ИСПДн либо на бумажных носителях).
Важные нюансы, связанные с порядком хранения персональных данных
Для того чтобы гарантировать сохранность и секретность ПДн, необходимо:
- Четко определить условия хранения персональных данных на бумажных носителях и в электронном виде. Речь идет не только о месте, но и установлении режима доступа туда для разных категорий сотрудников.
- Выбрать людей, которые будут отвечать за конкретные аспекты, связанные с сохранением информации.
- Провести разъяснительную работу с персоналом, объяснив степень важности ограничений и правил использования ПДн в рамках профессиональной деятельности, а также дав четкие инструкции, как действовать в той или иной ситуации.
- Продумать средства защиты для сейфов, шкафов с замками, а также заняться внедрением специализированного программного обеспечения.
- Если ведется работа с биометрическими данными, то дополнительно продумать механизмы контроля и ограничения доступа в соответствии с Правительственным постановлением № 512, вступившем в силу в 2008 году.
При урегулировании вопроса хранения личной информации необходимо понимать, что это не однократная работа, а постоянные усилия, направленные на поддержание информационной безопасности. Каждый год появляются новые угрозы и требования, которым приходится соответствовать, чтобы, во-первых, не платить огромные штрафы, а во-вторых, чтобы не быть хуже конкурентов и рассчитывать на доверие со стороны клиентов и партнеров.
Какой должна быть система хранения персональных данных
Основная нагрузка по работе с ПДн ложится на плечи кадрового департамента, поэтому его работники должны иметь точное представление о том, что и как делать для предупреждения несанкционированного доступа. Законодательной базой является Конституция, ФЗ-152, ФЗ-149, Трудовой Кодекс и другие нормативные акты. Особое внимание должно уделяться срокам хранения, передачи и обработки персональных данных. На сегодняшний день правовые нормы определяют следующие требования:
- 3 года предприятие имеет право и обязано хранить заявления о трудоустройстве либо увольнении, письма с рекомендациями, автобиографии, указы о переводе на другую должность, анкеты;
- на протяжении пяти лет сохраняются докладные, служебные записки, командировочные листы, разнообразные справки (которые не включаются в личное дело), а также приказы и выписки;
- финансовая информация (связанная с выдачей зарплаты, премиальных, пособий и т.д.) находится в архиве 75 лет.
Существует разница между сроком действия согласия на обработку ПДн и длительностью сохранения самих данных. Хранение персональных данных — это процесс, регулируемый законодательством, решением владельца и целями использования сведений. ФЗ-152 закрепляет обязанность оператора сразу после достижения цели обработки обезличить и уничтожить полученные данные.
Все работники, как штатные, так и внештатные, которые работают с личными сведениями, должны подписать соглашение о неразглашении. Типовой документ необходимо предварительно адаптировать под особенности деятельности фирмы.
Сбор, обработка и хранение персональных данных на бумажных и электронных носителях
Выделяют сведения о субъектах, сохраняемые в бумажном и электронном виде. Каждый вариант есть свои плюсы, минусы и особенности. Нередко информация дублируется для эффективного выполнения рабочих задач и в целях безопасности.
- Электронное хранение предполагает создание защищенных ИСПДн, которые в автоматическом режиме фиксируют и обрабатывают большие массивы данных. В таком случае не нужно много места или закупки закрывающихся шкафов и сейфов, а отыскать интересующие сведения можно за пару секунд, к тому же при серьезном подходе к обеспечению защиты нет риска кражи или утечки ПДн. Из недостатков следует отметить наличие затрат на оснащение современным программным обеспечением, потребность в постоянном создании резервных копий, а также регулярное обновление оборудования.
- Правила хранения персональных данных на бумажных носителях предполагают размещение личных дел в сейфах в алфавитном порядке в зависимости от регистрационного номера. Остальные сведения размещаются согласно внутреннему регламенту, то есть работодатель может сам выбрать место для папок-накопителей, определить ответственных за безопасность сотрудников и установить ограничение доступа. К плюсам бумажных носителей можно отнести оптимизацию учета ПДн, минимальное время поиска информации. К минусам можно отнести существенные финансовые расходы на сейфы, необходимость дополнительного обучения новых сотрудников отдела кадров, потребность в большом свободном и защищенном пространстве (если фирма большая и личных дел много).
Обработка и хранение персональных данных: составление внутренних правил
Документ преимущественно составляют по шаблону, внося некоторые корректировки в зависимости от формы, способа фиксации ПДн и других особенностей деятельности организации. Основные разделы:
- общие положения;
- способы выявления и профилактики несанкционированного доступа и распространения ПДн;
- цели обработки и содержание хранимой личной информации;
- категории субъектов;
- сроки обработки и сохранения сведений;
- механизм уничтожения информации;
- ответственность за нарушение правил.
После внедрения правил хранения персональных данных в информационных системах и на бумажных носителях необходимо убедиться в том, что:
РОСАРХИВ утвердил новые сроки хранения архивных документов
Так, с этой даты утвержден новый перечень типовых управленческих архивных документов с указанием сроков их хранения[1]. Ранее действовавший Приказ Минкультуры России от 25.08.2010 № 558[2] утратил силу[3].
В целях разъяснения правил применения перечня Росархив утвердил соответствующую инструкцию[4], которая вступила в силу 25 февраля 2020 г.
Сроки архивного хранения документов имеют важную практическую ценность для компаний как операторов персональных данных. На них следует ориентироваться для определения, когда и какие документы нужно уничтожать, что проверяется Роскомнадзором (в части сроков хранения персональных данных).
Сроки хранения некоторых видов документов изменены как в большую, так и в меньшую сторону. Особое внимание стоит уделить уменьшенным срокам хранения, так как законодательством ограничено хранение документов, содержащих персональные данные, и хранение таких документов сверх установленных сроков может быть признано нарушением.
Так, срок архивного хранения согласий на обработку персональных данных работников теперь составляет три года после истечения срока действия согласия или его отзыва, если иное не предусмотрено федеральным законом, договором. Ранее продолжительность архивного хранения таких согласий составляла 75 лет.
С учетом сокращения срока хранения некоторых документов, мы не исключаем возможные претензии Роскомнадзора, в частности, если он обнаружит хранимые более трех лет формы согласий уволенных работников (в том случае, если срок в них определялся сроком действия трудового договора).
О чем подумать, что сделать
Рекомендуем компаниям провести проверку соблюдения требований российского законодательства об архивном хранении документов, в том числе содержащих персональные данные, в рамках которой:
- учесть в работе положения новых нормативных правовых актов;
- принять необходимые меры по обновлению локальных актов компании, регламентирующих порядок и сроки хранения документов, в том числе содержащих персональные данные;
- провести инвентаризацию хранимых документов, направленную, в частности, на выявление документов с истекшим сроком хранения.
Помощь консультантов
Специалисты юридической компании «Пепеляев Групп» обладают большим опытом работы по вопросам применения законодательства о персональных данных и готовы оказать комплексное правовое и техническое содействие в проверке соблюдения требований законодательства о персональных и устранении выявленных нарушений, а также представлять интересы организации и ее сотрудников при проведении контрольных мероприятий и в спорах с административными органами.
[1] Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».
[2] Приказ Минкультуры России от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».
[3] Приказ Минкультуры России от 17.12.2019 № 1964 «О признании утратившими силу приказа Министерства культуры Российской Федерации от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» и внесенного в него изменения».
[4] Приказ Росархива от 20.12.2019 № 237 «Об утверждении Инструкции по применению Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».