Как правильно организовать хранение и обработку персональных данных в 2025 году

Нередко компании собирают у людей персональные данные и затем используют их в работе. Эти сведения тщательно охраняются законом, поэтому нужно с особым трепетом к ним относиться.

Что такое персональные данные - разбираемся в терминах

Персональные данные - это личная информация о людях. В неё входят их контактные данные (адрес электронной почты, номер телефона, ссылки в соцсетях), адрес проживания, инициалы, дата рождения, семейное положение, паспортные данные, гражданство и прочее. То есть это общая информация о человеке, которая может быть где-то использоваться.

Персональные данные бережно хранить, поскольку может произойти несанкционированный доступ в базу данных, и вся информация будет украдена мошенниками. Чтобы эти данные были под надёжной защитой, нужно правильно организовать их хранение и обработку. Как это сделать, расскажем в статье.

Зачем могут понадобиться персональные данные

Персональные данные используют в разных целях. Это могут быть коммерческие предложения и рекламные акции, которые создаются на основе полученной личной информации. Также это могут быть аналитические исследования, опросы, анализ данных - в этих случаях она тоже может пригодиться.

Организация, которая занимается сбором и обработкой персональных данных, называется оператором. У оператора, в свою очередь, может быть обработчик - специалист, который обрабатывает информацию о людях по его поручению.

Важно! Обработка данных допускается только в законных целях. Если это происходит не в соответствии с нормами закона, то организация обязана понести за это ответственность.

Перед тем, как перейти к сбору данных, оператор обязан указать цель, для которой он это делает. Он обозначает её в Политике, с которой обязательно должен ознакомиться каждый, чьи данные будут собирать.

Какие бывают персональные данные

В зависимости от цели сбора личные сведения бывают 4-ёх видов:

- общедоступные;

- специальные;

- биометрические;

- иные.

Общедоступные - это самые общие сведение о человеке: как зовут, сколько лет, где живёт, женат или нет и так далее.

Специальные - это сведения о расовой принадлежности человека либо о его политической позиции, например. Собираются для конкретных исследований, чтобы создать определённую фокус-группу.

Биометрические - это сведения о строении человеческого тела: цвет глаз, форма носа, губ и прочее.

Иные - имеются ввиду все данные, которые не относятся ни к одной из перечисленных групп.

Как правильно хранить персональные данные

Обычно сбор личной информации происходит с сайтов, социальных сетей и других публичных платформ, существующих в интернете. Собранные данные оператор должен где-то хранить, чтобы они не попали в руки злоумышленников. Поэтому для полноценной защиты оператору нужно выстроить надёжную инфраструктуру.

Самый простой и распространённый способ хранения персональных данных - это облачное хранение. Полученная информация загружается в облако, защищённое от несанкционированного проникновения.

Менее распространённый, но тем не менее существующий способ хранения - это на бумажных носителях. Это личные дела, трудовые книжки, договоры с работниками, также бухгалтерские ведомости на выплату зарплаты или командировочных. Хранить эти документы можно в сейфе либо в другом защищённом месте, которое можно запереть на замок. При этом в документах должен быть порядок: бумаги, содержащие отличную друг от друга информацию, нужно хранить не рядом, а отдельно. Нельзя смешивать бумаги с разными сроками хранения - так можно запутаться.

Внимание! Существует такой термин, как "избыточные персональные данные". Это сведения, которые оператор хранить в принципе не должен, поскольку у него такое разрешение отсутствует. За это тоже можно понести ответственность и получить штраф от Роскомнадзора. Как пример: в личном деле сотрудника хранятся копии паспортов его членов семьи, свидетельство о заключении брака, копия загранпаспорта. Всё это избыточные персональные данные, они здесь быть не должны. Такие сведения можно хранить, но только в том случае, если оператор получил от гражданина соответствующее разрешение.

Даже за бессрочное хранение резюме в отделе кадров, полученных от соискателей, можно тоже получить от Роскомнадзора "по шапке". Все резюме содержат персональные данные, которые можно хранить у себя только в период поиска нужного кандидата на должность. Как только специалист будет найден, все резюме нужно удалить из базы данных, либо запросит у их владельцев разрешение на их хранение и использование в случае, если в компании существует кадровый резерв.

Кто несёт ответственность за хранение персональных данных

Обычно в компании эта миссия возлагается на плечи сотрудника по кадрам, бухгалтера или секретаря.

Важно! Обязанность организации хранения личных сведений возложена только на те компании, у которых есть статус официального юридического лица. Индивидуальные предприниматели от этой обязанности освобождены.

По нормам закона лицо, ответственное в компании за хранение персональных данных, имеет такие обязанности:

1. Обеспечить реализацию прав физических лиц на неприкосновенность частной жизни и безопасность личной информации.

2. Не нарушать обязательные по закону требования и взаимодействовать с Роскомнадзором.

3. Проводить организационно-технические мероприятия, чтобы организовать выполнение своих обязанностей по защите персональных данных.

Что должен знать оператор, которому поручено хранить персональные данные граждан

В соответствии с Федеральным законом, который регулирует нормы хранения личных сведений людей, операторы должны следовать таким правилам в своей работе:

1. Обработка персональных данных (ПД) допускается строго в рамках законных целей. Их оператор указывает в своей Политике, а также в уведомлении Роскомнадзора о начале деятельности с перданными. Цели определяют исходя из видов деятельности организации или ИП, законодательных требований. Например, работодатель может собирать персональные данные в резюме для поиска подходящего кандидата на заполнение вакансии.

2. Нельзя объединять базы данных с личной информацией граждан, обрабатываемых в несовместимых целях. Это означает, что сведения о работниках нужно держать отдельно от ПД клиентов.

3. Срок хранения персональных данных заканчивается с достижением целей их обработки, если иное не установлено законодательством или договором с субъектом ПД. Работодатель должен учитывать, что сфера действия Закона № 152-ФЗ не распространяется на архивную деятельность. То есть при определении сроков хранения документов всегда нужно учитывать Приказ Росархива от 20.12.2019 №236.

4. К носителям информации (бумага, флешки, жесткий диск ПК, облачные хранилища) с биометрическими данными предъявляются усиленные требования по ч. 10 ст. 19 Закона №152-ФЗ. Работодатель должен полностью исключить неправомерные или случайные доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение.

Работы, которые на оператора возлагает закон:

1. Контролировать выполнение требований законодательства о персональных данных, в том числе к защите персональных данных. Это означает проводить внутренние аудиты структурных подразделений, согласовывать документы компании на предмет соответствия установленным правилам. Также ответственный информирует руководителя компании об утечках персональных данных, готовит предложения о привлечении работников к ответственности за разглашение персональных данных.

2. Доводить до сведения сотрудников организации законодательные требования, а также положения локальных актов оператора. На практике ответственный за персональные данные часто является разработчиком внутренних документов в этой сфере: Политики, порядка доступа к персональным данным. Он же готовит приказ о допуске к персональным данным отдельных работников.

3. Организовывать работу с обращениями и запросами субъектов персональных данных, их представителей. Здесь будет два блока обязанностей: контролировать общий порядок работы с жалобами граждан на предмет соответствия Закону №152-ФЗ и непосредственно отвечать субъектам персональных данных.

Точный объём задач, которые будет выполнять за эту функцию сотрудник, устанавливает руководитель компании, но, пожалуй, самая ключевая задача оператора заключается в том, чтобы не допускать утечек персональных данных из компании.

Внимание! По закону о каждой утечке личных сведений граждан с 1 сентября 2022 года необходимо сообщать в Роскомнадзор. Также нужно обязательно провести расследование, почему это произошло и какие были приняты меры, чтобы избежать подобных ситуаций.

Ещё одно решение в этом случае - передать задачу по хранению личных данных на аутсорсинг. Аутсорсинг - это сотрудник или команда сотрудников, связанных с компанией только договором подряда. То есть они не входят в штат компании, но по факту являются её непосредственной частью, поскольку выполняют порученные ею функции.

Важно! Вам вовсе не обязательно самостоятельно заниматься вопросами персональных данных у себя в компании. Существуют специальные фирмы, у которых можно заказать услугу "Подготовка документов по обработке персональных данных по 152-ФЗ". Они сделают всю работу за вас, избавив вас от необходимости разбираться с тонкостями закона, чтобы не получить штраф от Роскомнадзора. Поручите лучше эту задачу профессионалам своего дела.

Заключение

Итак, персональные данные - это сведения о человеке, которые для компаний могут представлять определённую ценность. Их собирают с разными целями, но в каждом конкретном случае необходимо позаботиться об организации правильного хранения этих сведений. За нарушениями в этой сфере пристально следит Роскомнадзор, который может выписать штраф за каждый просчёт. В конечном итоге компании может это дорого обойтись. Именно поэтому лучше работать с проверенными специалистами, которые в тонкостях знают все нормы закона и могут качественно выполнять свою работу.

//Новости giraff.io

//Партнер Гнездо.ру

Как правильно организовать хранение и обработку персональных данных в 2025 году

//Партнер ГНЕЗДО.РУ

//Новости giraff.io