Заявление о получении постоянного доступа к копии хранилища

Обновлено: 18.05.2024

Потеря или утечка конфиденциальной информации может стать для бизнеса серьезной проблемой. Рассказываем, как этого избежать.

12 августа 2021

Бизнеса, у которого нет конфиденциальных данных, просто не существует. Даже если это маленькая компания, занимающаяся розничной торговлей, у нее как минимум есть документы с информацией о сотрудниках — а это персональные данные, утечка которых может стать причиной для претензий со стороны регуляторов. Есть банковские бумаги, которые проблематично восстанавливать в случае утраты. Есть договоры с поставщиками и подрядчиками, которые могут составлять коммерческую тайну.

Чтобы не потерять важные данные — или же чтобы они не достались посторонним, — мы рекомендуем следовать следующим советам.

1. Включите полнодисковое шифрование на всех устройствах

На устройствах, где хранятся конфиденциальные данные или через которые они передаются (то есть, по большому счету, на всех), стоит включить полнодисковое шифрование данных (FDE, Full Disk Encryption). Это обезопасит данные, если устройство попадет в чужие руки. На большинстве телефонов обеих основных платформ (iOS и Android) такое шифрование включено по умолчанию, и отключать его без острой необходимости не стоит. В системе Windows инструмент полнодискового шифрования называется BitLocker. Аналог в macOS — FileVault.

2. Не выносите конфиденциальные данные из офиса

Еще один способ, как важные данные могут попасть не в те руки — потеря или кража физических носителей: внешних жестких дисков или флешек. Оптимальный вариант — вообще не выносить их из офиса. При крайней необходимости, прежде чем записывать данные на флешку или внешний жесткий диск, зашифруйте их. Например, многие защитные решения для малого бизнеса поддерживают создание криптоконтейнеров — зашифрованных хранилищ для файлов.

3. Не передавайте незашифрованные данные через Интернет

Иногда может возникнуть необходимость переслать конфиденциальные данные через Интернет — по электронной почте или через файлохранилище. В этом случае информация потенциально может быть перехвачена, поэтому лучше всего передаваемые файлы зашифровать. Самый простой способ сделать это — заархивировать их с паролем. Такую функцию поддерживают практически все программы-архиваторы. Причем пароль следует пересылать адресату не по тому каналу, через который вы передаете сами файлы (скажем, информацию вы отправляете вложением в письме, а пароль к ней — через мессенджер, поддерживающий сквозное шифрование).

4. Удаляйте конфиденциальные данные, которые вам больше не понадобятся

Лишняя информация вряд ли когда-либо вам пригодится, а вот проблемы в случае утечки доставить может. Поэтому разумно не хранить конфиденциальные данные, которые вам больше не нужны. Удалять такие данные лучше всего при помощи специальной программы — файлового шреддера. В противном случае удаленные файлы можно восстановить. Ну или как минимум убедитесь, что вы не просто положили их в корзину, где они благополучно продолжают лежать.

5. Шифруйте бэкапы

Резервные копии делать очень важно, но они также могут послужить источником утечки. Поэтому перед созданием резервных копий конфиденциальных данных имеет смысл также поместить их в криптоконтейнер.

6. Не храните важные данные в единственном экземпляре

Если вы не хотите лишиться какой-то информации, следует хранить ее в нескольких изолированных друг от друга местах. Например, одну копию на компьютере, а вторую на внешнем жестком диске или в надежном облачном хранилище. Опять же — не забывая предварительно ее зашифровать и вообще учитывать все советы, которые мы дали выше.

7. Надежно храните пароли от архивов и криптоконтейнеров

Если вы внезапно потеряете пароль от архива с важными для бизнеса данными, то, в сущности, вы потеряете и сами данные — восстановить их будет невозможно. Поэтому разумно хранить пароли в специально созданном для этого приложении.

В состав нашего решения для защиты малого и среднего бизнеса входит, среди прочего, приложение для создания сложных паролей и надежного их хранения. В нем же есть инструмент для создания криптоконтейнеров и средство для автоматизации создания резервных копий данных. Ну и, разумеется, оно же защищает ваши компьютеры и мобильные телефоны от зловредов, которые, помимо всего прочего, могут охотиться за секретами вашей фирмы.

РЕКОМЕНДАЦИИ
по доступу к документам государственных архивов, содержащим персональные данные

Руководитель темы,
ответственный исполнитель
вед. н.с.
И.А.Курникова

Общие положения

Настоящие рекомендации рассматривают порядок доступа юридических и физических лиц к архивным документам, содержащим персональные данные. Основой рекомендаций являются Конституция России и федеральные законы, а также модельный закон "О персональных данных", разработанный в качестве базового акта для создания государственного законодательства стран - членов СНГ.

В законодательно-нормативной базе России, определяющей решение проблемы доступа к персональным данным, имеются существенные пробелы:

- не принят федеральный закон "О персональных данных";

- существующие законодательные акты, касающиеся персональных данных, противоречивы (это относится и к дефиниции термина "персональные данные", и к степени их конфиденциальности), не имеют механизма реализации;

- федеральные законы касаются персональных данных документов текущего делопроизводства и не во всем могут быть применены при решении проблемы доступа и использования персональных данных, содержащихся в документах АФ РФ;

- нормативно-правовые документы, действующие на территории субъектов РФ и муниципальных образований и касающиеся персональных данных, не в полной мере базируются на федеральном законодательстве.

В государственных архивах России собрано огромное количество документов, содержащих персональные данные. Отсутствие необходимой нормативно-правовой базы вызывает большие трудности в работе архивистов. Сложность ситуации заключается еще и в том, что в начале 1990-х годов в состав АФ РФ вошли документы структурных подразделений коммунистической партии СССР (до 1991 года включительно) и отдельные комплексы документов из архивов ФСБ, содержащие значительный комплекс персональных данных граждан. Поступление этих документов в архивы стало следствием смены общественно-политического строя, болезненных преобразований, коснувшихся всех слоев общества, что заставляет быть особенно взвешенным при решении вопроса о доступе к ним. Международный опыт подтверждает данное положение ". в государствах, испытавших революционные ситуации, гражданские войны, военные перевороты или другие серьезные социальные или политические потрясения, свободный доступ к документам, имеющим отношения к названным событиям, может привести к открытым разоблачениям (обвинениям), террористическим актам мести и сведению счетов".

Дюшен М. Ограничения доступа, использования и передачи архивной информации. Исследование РАМП, ЮНЭСКО. Париж, 1983. (СИФ ОЦНТИ ВНИИДАД). С.32.

В сложившейся ситуации очевидна необходимость выхода в свет настоящих рекомендаций. Рекомендации подготовлены с целью оказать помощь сотрудникам архивных учреждений России в исполнении конституционных и законодательных норм применительно к проблеме обеспечения доступа пользователей к архивным документам, содержащим персональные данные в составе локальных документных комплексов: личные, персональные, пенсионные дела, дела по выездам за границу, дела о присвоении ученых степеней и званий и др. Указанные комплексы (состав документов каждого из комплексов, тематические группы персональных данных, содержащиеся в каждом виде документа комплекса) подробно описаны в подготовленном сотрудниками ВНИИДАД справочно-информационном пособии "Документы, содержащие персональные данные, в государственных архивах России". Названные комплексы формировались государственными структурами с целью сбора информации персонального характера о конкретных гражданах и в основе своей содержат конфиденциальную информацию. Порядок доступа к документам прекращенных уголовных, административных, фильтрационно-проверочных дел дан в соответствующем Положении.

Документы, содержащие персональные данные, в государственных архивах России. Справочно-информационное пособие. СИФ ОЦНТИ. М., 2001. N 216 - 2001.

Положение о порядке доступа к материалам прекращенных уголовных и административных, а также фильтрационно-проверочных дел в государственных и ведомственных архивах Российской Федерации. Взамен "Регламента. " Находится в стадии утверждения.

Рекомендации распространяются на документы государственной части АФ РФ и предназначены для использования работниками государственных, муниципальных, архивов. После принятия соответствующих законодательных актов Рекомендации могут быть в дальнейшем скорректированы с целью обеспечения защиты прав личности и на доступ к информации, и на защиту своих персональных данных.

ОСНОВНАЯ ЧАСТЬ

1. Обеспечение доступа к архивным документам,
содержащим персональные данные

1.1. Сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность, являются его персональными данными.

1.2. Персональные данные, которые в случае обнародования могут нанести субъекту персональных данных ущерб (моральный, материальный, физический), относятся к конфиденциальной информации (см. приложение 2, пп.2, 3, 4, 7, 8, 9, 10, 11, 12, 13, 16, 17, 18 (кроме самого факта осуждения), 20, 21). Документы личных, персональных, уголовных дел содержат персональные данные конфиденциального характера, поскольку в них присутствует информация указанных пп. приложения 2.

1.3. Ограничения в доступе к документам, содержащим конфиденциальные персональные данные, устанавливаются на 75 лет со времени создания документа.

Федеральный закон "Основы законодательства Российской Федерации об Архивном фонде Российской Федерации и архивах". // Ведомости съезда народных депутатов РФ и ВС РФ. 1993. N 33. Ст.1311. Ст.20; федеральный закон "О персональных данных". Проект. Ст.6 (п.3).

1.4. Режим конфиденциальности не устанавливается:

- для субъекта персональных данных, который хочет получить доступ к своим персональным данным, при условии, что это решение не противоречит федеральному законодательству (например, законам РФ "О государственной тайне", "Об оперативно-розыскной деятельности");

- для доверенного лица субъекта персональных данных, предъявившего соответствующий нотариально заверенный документ и документ, удостоверяющий личность; в случае смерти субъекта данных - для его законного наследника, подтвердившего право наследования соответствующим документом и предъявившего документ, удостоверяющий личность, при условии, что это решение не противоречит федеральному законодательству (например, законам РФ "О государственной тайне", "Об оперативно-розыскной деятельности");

- если в документе содержатся персональные данные, которые не могут быть идентифицированы, а значит не может быть нанесен ущерб (моральный, материальный, физический) субъекту персональных данных в случае их обнародования;

- если субъектом информации является общественный деятель, занимающий или претендующий на занятие выборной должности. Режим конфиденциальности не снимается с компрометирующих данное лицо персональных данных, если они не были подтверждены в ходе судебного разбирательства;

- если документ, содержащий персональные данные, был полностью опубликован ранее.

1.5. После окончания 75 лет со времени создания документа, содержащего конфиденциальные персональные данные, документ становится общедоступным. Это правило действует для документов государственных учреждений. Если документы, содержащие персональную информацию, являются частной собственностью физического или юридического лица, то при сдаче документов на государственное хранение оно может установить для них продолжительность режима конфиденциальности по своему усмотрению. Если режим конфиденциальности для документов частного юридического или физического лица не был им установлен, то на такие документы остаются ограничения для свободного доступа в течение 75 лет со времени их создания.

2. Обеспечение доступа к архивным документам, содержащим конфиденциальные
персональные данные, до окончания режима их конфиденциальности

2.1. Субъект персональных данных (его доверенное лицо, в случае смерти субъекта персональных данных - его законный наследник) обладает правом разрешить доступ пользователя к своим персональным данным до окончания режима их конфиденциальности, если это не противоречит федеральному законодательству (например, законам "О государственной тайне", "Об оперативно-розыскной деятельности"). В этом случае пользователь должен представить в архив оригинал нотариально заверенного разрешения субъекта персональных данных на доступ. В разрешении должно быть указано, к каким документам и на каких условиях допускается пользователь.

При предъявлении документа, удостоверяющего личность, пользователь получает доступ к указанным в разрешении документам, при условии отсутствия в них конфиденциальных персональных данных других субъектов. Если в указанных в разрешении документах есть персональные данные, компрометирующие других лиц, пользователь должен представить в архив оригиналы нотариально заверенных разрешений на доступ этих субъектов персональных данных. При отсутствии разрешений ему может быть выдана архивная справка, содержащая персональные данные субъекта, давшего разрешение на доступ. Работнику архива следует обеспечить защиту конфиденциальных персональных данных других субъектов.

2.2. В том случае, когда невозможно узнать мнение субъекта о возможности доступа к его персональным данным до окончания режима конфиденциальности (например, неизвестно его местопребывание или в случае смерти субъекта персональных данных отсутствует информация о его наследниках), вопрос о возможности доступа к архивным документам, содержащим конфиденциальные персональные данные, до истечения 75 лет со времени создания документа рассматривает руководитель государственного архива (или лицо, обладающее соответствующими полномочиями).

2.3. Большое разнообразие персональных данных, содержащихся в архивных документах, степень конфиденциальности которых во многом зависит от тематической группы информации, к которой они принадлежат, от личности субъекта персональных данных, учреждения-фондообразователя, времени, места их создания, приводит к необходимости принимать решение по каждому запросу о доступе к персональным данным до окончания режима конфиденциальности индивидуально. Основополагающим остается правило о соблюдении интересов каждого субъекта персональных данных, его защите от возможного морального, материального и физического ущерба.

2.4. В целях защиты прав субъекта при рассмотрении вопроса о доступе к его персональным данным до окончания режима их конфиденциального хранения, при принятии решения необходимо учитывать и следующие факторы:

- обоснование необходимости досрочного доступа именно к данным документам;

- к какому виду конфиденциальной информации относятся данные, содержащиеся в документе, запрашиваемом пользователем. При этом степень конфиденциальности персональных данных может быть условно определена, исходя из степени и вида (моральный, материальный, физический) возможного ущерба;

- сколько времени прошло с момента создания документа, содержащего конфиденциальные персональные данные (учитывая, что использование конфиденциальных персональных данных ограничено 75 годами со времени создания документа);

- приведет ли доступ к документу к установлению личности субъекта персональных данных;

2.5. В целях рассмотрения вопроса о возможности доступа пользователя к персональным данным до окончания 75 лет со времени создания документа, в котором они содержатся, руководитель государственного архива (или лицо, обладающее соответствующими полномочиями) рассматривает официальное письмо организации, направившей пользователя в архив, или личное заявление, если пользователь - частное лицо. В письме (заявлении) должны присутствовать сведения о целях исследования, личности пользователя и гарантии обеспечения конфиденциальности персональных данных.

2.6. В том случае если цель работы пользователя - подготовка социологического, статистического, демографического и т.д. исследования, в котором персональные данные будут использованы в обезличенном виде, и организация, направившая пользователя в архив, и сам пользователь берут на себя ответственность за соблюдение взятых обязательств, в письме должно быть указано, что полученная информация будет использована только в указанных целях и в обезличенном виде.

2.7. В том случае если цель исследования - подготовка биографического исследования (монографии, посвященной выдающемуся человеку, или справки для биобиблиографического словаря, комментариев о лицах), то работникам архива необходимо предварительно просмотреть дела, заказанные исследователем. Если дела не содержат конфиденциальных персональных данных (см.п.1.2), они могут быть выданы пользователю. В противном случае с согласия пользователя ему выдается архивная справка, содержащая информацию о данном лице (лицах). По договоренности с пользователем ему могут быть подготовлены копии документов с обезличенными персоноидентифицирующими данными, тематические справки или ответы на подготовленный им перечень вопросов (см.п.3).

2.8. В том случае если пользователь, являясь частным лицом, занимается генеалогическим поиском или сбором информации о своем предке, роде, в заявлении должна быть указана степень родства, представлены нотариально заверенные документы, ее подтверждающие. Если пользователь не имеет родственных отношений с субъектом персональных данных или не располагает документами, подтверждающими степень родства, то для него может быть подготовлена архивная справка.

2.9. При решении вопроса о доступе руководитель архива при необходимости вправе затребовать у пользователя, занимающегося научными исследованиями, список научных трудов или рекомендательное письмо научного руководителя, если пользователем является начинающий научный сотрудник или аспирант.

2.10. В том случае если тема, заявленная исследователем, носит слишком общий характер, в целях решения вопроса об обеспечении доступа к персональным данным, руководитель архива вправе предложить пользователю в письменном виде обосновать целесообразность изучения этих документов. Доступ может быть разрешен только к информации, непосредственно связанной с профилем деятельности или темой исследования пользователя.

2.11. При положительном решении вопроса о доступе в анкете пользователя он собственноручно должен написать, что ознакомлен с законодательством о персональных данных и обязуется не нанести ущерб субъекту, к чьим персональным данным он допущен. Если в процессе работы в архиве пользователь запрашивает дело, содержащее персональные данные лиц, информация о которых не является темой исследования, следует предложить ему внести изменения (уточнения) в указанную тему исследования.

2.12. Разрешение на доступ выдается в письменном виде. Оно может быть оформлено в виде самостоятельного документа или в виде визы на письме юридического лица или на личном заявлении пользователя. И в том, и в другом случае должно быть указано, к каким документам пользователь получает доступ и на каких условиях.

2.13. Отказ в предоставлении доступа также излагается в письменном виде (либо на самом запросе, либо на самостоятельном документе) с указанием причин отказа и ссылкой на соответствующий нормативно-правовой документ (Основы законодательства Российской Федерации "Об Архивном фонде Российской Федерации и архивах". Ст.20).

3. Формы организации доступа к документам, содержащим конфиденциальные
персональные данные, до окончания режима их конфиденциальности

3.1. В том случае, если пользователь получил доступ к отдельным архивным документам дела, и дело не сброшюровано, разрешенные для ознакомления документы могут быть выделены в отдельную папку и предоставлены пользователю.

3.2. В том случае, если пользователю разрешен доступ к отдельным архивным документам дела и нет возможности предоставить разрешенные к доступу документы отдельно, возможна выдача архивного дела при условии, что доступными для пользования останутся только разрешенные к прочтению документы, а документы, содержащие информацию конфиденциального характера, будут законвертированы.

3.3. В том случае, если пользователь, заинтересованный в доступе к архивному документу, содержащему персональные данные, не нуждается в персоноидентифицирующей информации, ему на платной основе может быть представлена ксерокопия документа с обезличенными персональными данными, при условии, что оставшаяся информация не достаточна для идентификации субъекта персональных данных. При этом с подлинника документа снимается копия, на ней закрываются (или замазываются) персоноидентифицирующие данные и делается следующая копия, которая выдается пользователю. Промежуточную копию следует уничтожить.

3.4. В том случае, если архивный документ не может быть предоставлен пользователю без риска нанесения ущерба субъекту данных, по договоренности с пользователем ему на платной основе может быть подготовлена аналитическая информация или ответы на составленный им вопросник по содержанию документов, не содержащие персоноидентифицирующую информацию.

"Что вполне достаточно для честного исследования," - из отзыва ГАРФ на проект "Временного положения о порядке доступа к архивным документам, содержащим информацию персонального характера, и о порядке их использования". Росархив, 2000.

Электронные документы проще и быстрее формировать, отправлять и обрабатывать. Они ускоряют рабочие процессы и экономят ресурсы. Поэтому бизнес и контролирующие органы активно переходят на электронный документооборот.

Электронные документы также проще хранить, потому что не нужно содержать помещение и тратить время сотрудников на сортировку и поиск. Однако хранение электронных документов тоже требует соблюдения правил и обеспечения технической возможности. Информацию нужно правильно оформлять, защищать от системных сбоев и внешних вмешательств.

В статье разберем способы и правила хранения электронных документов, особенности и преимущества облачных архивов, а также расскажем, как выбрать подходящий сервис хранения.

Способы хранения электронных документов

Электронные документы хранят на флешках или дисках. Это самый ненадежный способ. Носитель легко потерять или повредить, он может прийти в негодность со временем. Безопасность информации при таком способе самая низкая — защиту диска или флешки легко взломать.

Не требует установки ПО, комплексных настроек и больших затрат. Обеспечивает нужный уровень защиты, хранит документы по правилам закона. Позволяет настроить функции под нужды бизнеса, управлять ролями сотрудников. Для доступа к данным необходим стабильный интернет.

Обычно это папка на компьютере, например, бухгалтера, к которому имеют доступ некоторые сотрудники. Это самый простой, но небезопасный способ. Компьютер может сломаться, тогда все данные будут утеряны. А еще простой защиты папки недостаточно, чтобы уберечь информацию от изменений, утери или копирования. Даже модератор документов не обеспечивает должный уровень безопасности и управляемости. Еще один минус — правила хранения и организации локального архива. Нужно потратить немало времени, чтобы обучить сотрудников работе с собственным архивом.

Обычно это архив при системе электронного документооборота (СЭД) или отдельное ПО, которые обеспечивают нужный уровень защиты, оперативный доступ, понятную структуру и правила хранения. Но для многих компаний и предпринимателей способ может быть избыточным, потому что требует отдельного ПО, настройки и немалых затрат. Поэтому чаще всего бизнес выбирает облачный электронный архив.

Для всех перечисленных способов требования и правила со стороны закона идентичные.
Далее процессы и особенности хранения электронных документов мы будем рассматривать на примере облачных архивов.

Грамотное организованное хранение документов, содержащих персональные данные, — залог того, что конфиденциальная информация о сотрудниках, клиентах и в целом деятельности организации не попадет в руки посторонних лиц. Ответственность за определение правил, места размещения и защиты информации ложится, согласно закону, на работодателя, однако не все четко понимают, о каких нюансах нужно позаботиться. Добавляют сложностей постоянные дополнения и корректировки нормативно-правовых актов, которые приходится отслеживать, чтобы не получить штраф и не попасть в эпицентр скандала, связанного с распространением личных сведений граждан.

Разберемся, как и где хранить персональные данные, чтобы спокойно проходить проверки и поддерживать имидж серьезной компании, которая заботится об информационной безопасности. Более конкретные рекомендации работодатели или их представители могут получить, воспользовавшись услугами наших экспертов, которые проанализируют текущее положение дел и составят список необходимых изменений.

Существуют ли четкие правила хранения персональных данных?

Многие начинающие бизнесмены полагают, что для урегулирования вопросов, касающихся операций с ПДн, есть четкие инструкции, используя которые получится сформировать четкие правила и привести деятельность в соответствии с законодательными требованиями. На практике единого подхода к решению вопроса нет. Это значит, что каждый руководитель или ИП самостоятельно (или делегируя обязательства на заместителя либо руководителя отдела кадров):

разрабатывает регламент хранения персональных данных;
определяет, где они будут находиться;
подбирает и одобряет предпринимаемые меры защиты и ограничения доступа;
назначает сотрудников, которые будут нести ответственность за контроль операций с личными сведениями;
выбирает те или иные виды наказаний за нарушения правил;
подписывает внутренние распоряжения.

Ответственный подход на начальном этапе дает возможность в будущем не вносить радикальных изменений даже при изменении нормативно-правовой базы. Для того, чтобы все сделать правильно, необходимо принимать в расчет актуальные предписания относительно работы архивов, ограничения доступа к информации разных категорий сотрудников, а также ранее установленный порядок сбора и обработки ПДн (он должен быть закреплен в локальном акте или распоряжении). Еще один существенный момент заключается в том, чтобы политика по данному вопросу учитывала способ выполнения операций (в рамках ИСПДн либо на бумажных носителях).

Важные нюансы, связанные с порядком хранения персональных данных

Для того чтобы гарантировать сохранность и секретность ПДн, необходимо:

Четко определить условия хранения персональных данных на бумажных носителях и в электронном виде. Речь идет не только о месте, но и установлении режима доступа туда для разных категорий сотрудников.
Выбрать людей, которые будут отвечать за конкретные аспекты, связанные с сохранением информации.
Провести разъяснительную работу с персоналом, объяснив степень важности ограничений и правил использования ПДн в рамках профессиональной деятельности, а также дав четкие инструкции, как действовать в той или иной ситуации.
Продумать средства защиты для сейфов, шкафов с замками, а также заняться внедрением специализированного программного обеспечения.
Если ведется работа с биометрическими данными, то дополнительно продумать механизмы контроля и ограничения доступа в соответствии с Правительственным постановлением № 512, вступившем в силу в 2008 году.

При урегулировании вопроса хранения личной информации необходимо понимать, что это не однократная работа, а постоянные усилия, направленные на поддержание информационной безопасности. Каждый год появляются новые угрозы и требования, которым приходится соответствовать, чтобы, во-первых, не платить огромные штрафы, а во-вторых, чтобы не быть хуже конкурентов и рассчитывать на доверие со стороны клиентов и партнеров.

Какой должна быть система хранения персональных данных

Основная нагрузка по работе с ПДн ложится на плечи кадрового департамента, поэтому его работники должны иметь точное представление о том, что и как делать для предупреждения несанкционированного доступа. Законодательной базой является Конституция, ФЗ-152, ФЗ-149, Трудовой Кодекс и другие нормативные акты. Особое внимание должно уделяться срокам хранения, передачи и обработки персональных данных. На сегодняшний день правовые нормы определяют следующие требования:

3 года предприятие имеет право и обязано хранить заявления о трудоустройстве либо увольнении, письма с рекомендациями, автобиографии, указы о переводе на другую должность, анкеты;
на протяжении пяти лет сохраняются докладные, служебные записки, командировочные листы, разнообразные справки (которые не включаются в личное дело), а также приказы и выписки;
финансовая информация (связанная с выдачей зарплаты, премиальных, пособий и т.д.) находится в архиве 75 лет.

Существует разница между сроком действия согласия на обработку ПДн и длительностью сохранения самих данных. Хранение персональных данных — это процесс, регулируемый законодательством, решением владельца и целями использования сведений. ФЗ-152 закрепляет обязанность оператора сразу после достижения цели обработки обезличить и уничтожить полученные данные.

Все работники, как штатные, так и внештатные, которые работают с личными сведениями, должны подписать соглашение о неразглашении. Типовой документ необходимо предварительно адаптировать под особенности деятельности фирмы.

Сбор, обработка и хранение персональных данных на бумажных и электронных носителях

Выделяют сведения о субъектах, сохраняемые в бумажном и электронном виде. Каждый вариант есть свои плюсы, минусы и особенности. Нередко информация дублируется для эффективного выполнения рабочих задач и в целях безопасности.

Электронное хранение предполагает создание защищенных ИСПДн, которые в автоматическом режиме фиксируют и обрабатывают большие массивы данных. В таком случае не нужно много места или закупки закрывающихся шкафов и сейфов, а отыскать интересующие сведения можно за пару секунд, к тому же при серьезном подходе к обеспечению защиты нет риска кражи или утечки ПДн. Из недостатков следует отметить наличие затрат на оснащение современным программным обеспечением, потребность в постоянном создании резервных копий, а также регулярное обновление оборудования.
Правила хранения персональных данных на бумажных носителях предполагают размещение личных дел в сейфах в алфавитном порядке в зависимости от регистрационного номера. Остальные сведения размещаются согласно внутреннему регламенту, то есть работодатель может сам выбрать место для папок-накопителей, определить ответственных за безопасность сотрудников и установить ограничение доступа. К плюсам бумажных носителей можно отнести оптимизацию учета ПДн, минимальное время поиска информации. К минусам можно отнести существенные финансовые расходы на сейфы, необходимость дополнительного обучения новых сотрудников отдела кадров, потребность в большом свободном и защищенном пространстве (если фирма большая и личных дел много).

Обработка и хранение персональных данных: составление внутренних правил

Документ преимущественно составляют по шаблону, внося некоторые корректировки в зависимости от формы, способа фиксации ПДн и других особенностей деятельности организации. Основные разделы:

общие положения;
способы выявления и профилактики несанкционированного доступа и распространения ПДн;
цели обработки и содержание хранимой личной информации;
категории субъектов;
сроки обработки и сохранения сведений;
механизм уничтожения информации;
ответственность за нарушение правил.

После внедрения правил хранения персональных данных в информационных системах и на бумажных носителях необходимо убедиться в том, что:

Читайте также: