Хранение персональных данных: как организовать в компании, и какие особенности учесть

Оператор — физическое или юридическое лицо, обязан принимать меры по защите личной информации граждан от несанкционированного доступа, ее копирования и распространения без согласия субъекта. Это достигается, в том числе организацией правильного хранения персональных данных. Разбираемся, какие есть требования по закону, и как их выполнять.

Общие требования к обработке и хранению персональных данных

Перечислим основные положения Закона №152-ФЗ, которые должен знать оператор:

1. Обработка персональных данных (ПД) допускается строго в рамках законных целей. Их оператор указывает в своей Политике, а также в уведомлении Роскомнадзора о начале деятельности с перданными. Цели определяют исходя из видов деятельности организации или ИП, законодательных требований. Например, работодатель может собирать персональные данные в резюме для поиска подходящего кандидата на заполнение вакансии.
2. Нельзя объединять базы данных с личной информацией граждан, обрабатываемых в несовместимых целях. Это означает, что сведения о работниках нужно держать отдельно от ПД клиентов.
3. Срок хранения персональных данных заканчивается с достижением целей их обработки, если иное не установлено законодательством или договором с субъектом ПД. Работодатель должен учитывать, что сфера действия Закона № 152-ФЗ не распространяется на архивную деятельность. То есть при определении сроков хранения документов всегда нужно учитывать Приказ Росархива от 20.12.2019 №236.
4. К носителям информации (бумага, флешки, жесткий диск ПК, облачные хранилища) с биометрическими данными предъявляются усиленные требования по ч. 10 ст. 19 Закона №152-ФЗ. Работодатель должен полностью исключить неправомерные или случайные доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение.

Конкретные требования к хранению персональных данных зависят от выбранного способа обработки. По Закону №152-ФЗ их два: автоматизированный и исключительно без средств автоматизации, то есть без использования вычислительной техники. На практике у работодателя может применяться смешанный способ, когда часть ПД обрабатывается на компьютере, а часть — исключительно вручную.

	Топ-5 документов по персональным данным, которые скачивают ваши коллеги: Бланк приказа о назначении ответственного за обработку персданных Примерная форма политики по персданным Пример нового согласия на обработку персданных Таблица изменений в работе с персданными на 2022-2023 гг. Чек-лист для аудита документов по персданным

Требования к хранению персональных данных в информационных системах

Основные правила обработки ПД в электронном виде установлены ст. 19 Закона №152-ФЗ и Постановлением Правительства РФ от 01.11.2012 №1119. В них приведены требования к защите персданных в информационных системах (ИС), которые состоят из баз данных с личной информацией, информационных технологий и средств обработки. Официальный сайт оператора тоже относится к ИС, если на нем есть сбор и хранение персональных данных физических лиц.

Информационные системы, в зависимости от категорий ПД, бывают:

• общедоступными, где содержатся Ф.И.О., адрес, место работы, образование субъекта и другая личная информация, которую 
• специальными — в них обрабатываются сведения о расовой, национальной принадлежности, политических взглядах и убеждениях, отношении к религии, состоянии здоровья физлица;
• биометрическими;
• иными, если в них не обрабатываются перечисленные выше три категории данных.

Степень защиты ИС зависит от категории ПД. К общедоступным предъявляется меньше всего требований. Чуть строже они к иным ПД. Самые серьезные требования существуют для специальных персональных данных. Именно содержащаяся в них информация способна принести наибольший ущерб и моральный вред гражданину.

Оператор должен оценить угрозы безопасности персданных в электронном виде и выстроить в зависимости от них защищенную ИТ-инфраструктуру. В Постановлении №1119 приведено три типа угроз. С учетом их устанавливается четыре уровня защищенности (УЗ). При этом также учитывается, какие категории ПД использует оператор. 

Личную информацию в ИС 3 и 4 уровня защиты можно обрабатывать в облачных хранилищах, если они соответствуют ст. 19 Закона №152-ФЗ. К информационным системам с УЗ 1 и 2 предъявляются гораздо более строгие требования.

Кроме обеспечения защиты ИС, оператор должен получить в большинстве случаев согласие на обработку, в том числе хранение персональных данных от гражданина. Правовые основания, когда это не обязательно, установлены в самом Законе №152-ФЗ.

Важно! Конкретные организационные и технические мероприятия по защите персональных данных разрабатываются с учетом Приказа ФСТЭК от 18.02.2013 №21.

Требования к хранению ПД в бумажном виде

До 1 сентября 2022 года под неавтоматизированной обработкой персданных понимались действия, производимые при непосредственном участии человека — Постановление Правительства РФ от 15.09.2008 №687. В связи с поправками в ст. 22 Закона №152-ФЗ появился термин «исключительно без средств автоматизации». То есть без использования вычислительной техники, если брать определение из ст. 3 Закона №152-ФЗ.

Предполагаем, что Положение №687 можно применять при неавтоматизированной обработке ПД в той части, в какой оно не регулирует работу с компьютерной техникой.

Компания использует бумажные носители с персональными данными: личные дела, трудовые книжки, договоры с работниками, также бухгалтерские ведомости на выплату зарплаты или командировочных. Чтобы обезопасить информацию в этих документах следует ответственно подойти к вопросу их хранения:

• держать бумаги нужно в сейфах или металлических несгораемых шкафах, которые запираются на замок. Или оборудовать специальное помещение, например, отдельное помещение кассы со стальной дверью;
• информацию, которую обрабатывают в разных целях, стоит держать отдельно друг от друга, также документы, у которых срок хранения персональных данных разный, лучше не смешивать; 
• не хранить в личных делах сотрудников: копии паспорта, СНИЛС и ИНН, свидетельства о браке или рождении ребенка, и все остальные, которые Роскомнадзор при проверке признает как содержащие избыточные персональные сведения.

Обратите внимание! Закон не запрещает хранить копии этих документов или их сканы, но только если работник дал согласие на хранение персональных данных и обработку, в котором указываются объем персональных сведений, способы и цели работы с ними. Но как показывает судебная практика, лучше не рисковать и уничтожить копии после того, как использовали информацию.

Совет. За хранение резюме соискателей можно получить штраф от Роскомнадзора, потому что там тоже содержатся персональные данные. Резюме разрешается использовать в течение срока, пока сотрудник кадровой службы рассматривает потенциальных кандидатов. Не храните этот документ ни в распечатанном виде, ни в электронном, например, присланный на e-mail, если вакансия уже закрыта. Если в компании формируется кадровый резерв, у каждого кандидата возьмите согласие на хранение сведений о нем и укажите цель хранения.

Как организовать хранение персональных сведений в компании: пошаговая инструкция

Чтобы обработка и хранение персональных данных в организации соответствовали нормам ФЗ-152 нужно разработать все требуемые документы и следовать определенным правилам:

• установить и зафиксировать в Положении о хранении персональных данных порядок доступа в специальное помещение или к местам хранения персональной информации согласно п.13 постановления Правительства от 15.09.2008 № 687. 
• Назначить тех, кто будет обрабатывать персданные и нести за это ответственность. Это могут быть работники кадровой службы или бухгалтерии. Ознакомить работников под роспись с этим документом. Как назначить ответственного за персданные, читайте здесь.
• Составить перечень персональных данных, которые будут обрабатывать в организации. В том числе те, которые передают третьим лицам: в ПФР, ГИТ, налоговую или статистику;
• Заранее разработать формы заявлений о согласии на обработку, хранение и передачу персональных сведений, также журналы учета и проверок — в случае если неожиданно придут проверяющие из Роскомнадзора или ФСТЭК;
• Выбрать место для хранения персональных данных на бумаге и оформить это приказом.
• Разработать и утвердить форму обязательства о неразглашении персональных данных и подписать его с сотрудниками, которые отвечают за работу с этой информацией;
• Подать уведомление в Роскомнадзор о том, что компания является оператором персональных данных, если еще не подали;
• После необходимо контролировать весь процесс работы с персональными данными, следить за изменениями в законодательстве и периодически проводить независимый аудит.

Оператор при хранении ПД должен обеспечить постоянную защиту их от несанкционированного доступа. С 1 сентября 2022 года о каждой утечке персональных данных следует сообщать в Роскомнадзор:

• в течение 24 часов — об инциденте;
• не позднее 72 часов — о результатах расследования утечки.

Подать уведомление можно на официальном портале Роскомнадзора. Для этого оператору понадобится подтвержденная учетная запись на Госуслугах.

Читайте на сайте статьи по теме «Персональные данные» Персональные данные с 1 сентября 2022: какие требования теперь предъявляет закон Политика обработки персональных данных в локальных актах организации Ответственный за персональные данные: кого и как назначить Трансграничная передача персональных данных по новым требованиям Согласие на распространение персональных данных: новые требования к документу Согласие на обработку персональных данных 2022: последние требования закона Аудит персональных данных: как провести по новым правилам Что делать, если сотрудник получил производственную травму