Хранение персональных данных: как организовать в компании, и какие особенности учесть
- Комментарии
...Загрузка комментариев...
Оператор — физическое или юридическое лицо, обязан принимать меры по защите личной информации граждан от несанкционированного доступа, ее копирования и распространения без согласия субъекта. Это достигается, в том числе организацией правильного хранения персональных данных. Разбираемся, какие есть требования по закону, и как их выполнять.
Перечислим основные положения Закона №152-ФЗ, которые должен знать оператор:
Конкретные требования к хранению персональных данных зависят от выбранного способа обработки. По Закону №152-ФЗ их два: автоматизированный и исключительно без средств автоматизации, то есть без использования вычислительной техники. На практике у работодателя может применяться смешанный способ, когда часть ПД обрабатывается на компьютере, а часть — исключительно вручную.
![]() |
Топ-5 документов по персональным данным, которые скачивают ваши коллеги:
Бланк приказа о назначении ответственного за обработку персданных
Примерная форма политики по персданным
Пример нового согласия на обработку персданных
Таблица изменений в работе с персданными на 2022-2023 гг.
Чек-лист для аудита документов по персданным
|
Основные правила обработки ПД в электронном виде установлены ст. 19 Закона №152-ФЗ и Постановлением Правительства РФ от 01.11.2012 №1119. В них приведены требования к защите персданных в информационных системах (ИС), которые состоят из баз данных с личной информацией, информационных технологий и средств обработки. Официальный сайт оператора тоже относится к ИС, если на нем есть сбор и хранение персональных данных физических лиц.
Информационные системы, в зависимости от категорий ПД, бывают:
Степень защиты ИС зависит от категории ПД. К общедоступным предъявляется меньше всего требований. Чуть строже они к иным ПД. Самые серьезные требования существуют для специальных персональных данных. Именно содержащаяся в них информация способна принести наибольший ущерб и моральный вред гражданину.
Оператор должен оценить угрозы безопасности персданных в электронном виде и выстроить в зависимости от них защищенную ИТ-инфраструктуру. В Постановлении №1119 приведено три типа угроз. С учетом их устанавливается четыре уровня защищенности (УЗ). При этом также учитывается, какие категории ПД использует оператор.
Личную информацию в ИС 3 и 4 уровня защиты можно обрабатывать в облачных хранилищах, если они соответствуют ст. 19 Закона №152-ФЗ. К информационным системам с УЗ 1 и 2 предъявляются гораздо более строгие требования.
Кроме обеспечения защиты ИС, оператор должен получить в большинстве случаев согласие на обработку, в том числе хранение персональных данных от гражданина. Правовые основания, когда это не обязательно, установлены в самом Законе №152-ФЗ.
![]() |
Важно! Конкретные организационные и технические мероприятия по защите персональных данных разрабатываются с учетом Приказа ФСТЭК от 18.02.2013 №21. |
До 1 сентября 2022 года под неавтоматизированной обработкой персданных понимались действия, производимые при непосредственном участии человека — Постановление Правительства РФ от 15.09.2008 №687. В связи с поправками в ст. 22 Закона №152-ФЗ появился термин «исключительно без средств автоматизации». То есть без использования вычислительной техники, если брать определение из ст. 3 Закона №152-ФЗ.
Предполагаем, что Положение №687 можно применять при неавтоматизированной обработке ПД в той части, в какой оно не регулирует работу с компьютерной техникой.
Компания использует бумажные носители с персональными данными: личные дела, трудовые книжки, договоры с работниками, также бухгалтерские ведомости на выплату зарплаты или командировочных. Чтобы обезопасить информацию в этих документах следует ответственно подойти к вопросу их хранения:
![]() |
Обратите внимание! Закон не запрещает хранить копии этих документов или их сканы, но только если работник дал согласие на хранение персональных данных и обработку, в котором указываются объем персональных сведений, способы и цели работы с ними. Но как показывает судебная практика, лучше не рисковать и уничтожить копии после того, как использовали информацию. |
![]() |
Совет. За хранение резюме соискателей можно получить штраф от Роскомнадзора, потому что там тоже содержатся персональные данные. Резюме разрешается использовать в течение срока, пока сотрудник кадровой службы рассматривает потенциальных кандидатов. Не храните этот документ ни в распечатанном виде, ни в электронном, например, присланный на e-mail, если вакансия уже закрыта. Если в компании формируется кадровый резерв, у каждого кандидата возьмите согласие на хранение сведений о нем и укажите цель хранения. |
Чтобы обработка и хранение персональных данных в организации соответствовали нормам ФЗ-152 нужно разработать все требуемые документы и следовать определенным правилам:
Оператор при хранении ПД должен обеспечить постоянную защиту их от несанкционированного доступа. С 1 сентября 2022 года о каждой утечке персональных данных следует сообщать в Роскомнадзор:
Подать уведомление можно на официальном портале Роскомнадзора. Для этого оператору понадобится подтвержденная учетная запись на Госуслугах.
Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies