Срок хранения персональных данных

Сроки хранения персональных данных согласно европейскому законодательству о защите персональных данных GDPR

Данная заметка работающего в Великобритании румынского специалиста Лючии Стефан (Lucia Stefan – на фото), в настоящее время – владельца компании Archiva Ltd, была опубликована 19 декабря 2016 года в социальной сети LinkedIn.
Просматривая недавно опубликованное 280-страничное руководство по практическому исполнению европейского законодательства о защите персональных данных (General Data Protection Regulation, GDPR), я была потрясена, обнаружив, что очень важный элемент GDPR был выхолощен авторами этого документа. Цитирую в точности, как это сказано в тексте: «Говоря по-простому: если данные Вам больше не нужны, избавьтесь от них», а затем «… достаточно просто определить, когда данные больше не требуются».
Достаточно просто определить, когда данные больше не требуются, и избавиться от них?! В самом деле?
«Постоянство памяти», Сальвадор Дали, 1931 Подозреваю, что авторы руководства никогда не работали в реальном проекте, устанавливая, например, соответствующие британскому Закону о защите персональных данных (Data Protection Act 1998, DPA) сроки хранения для персональных данных, собранных финансовыми учреждениями (страховыми компаниями и банками). Иначе они бы знали, что установление даты, после которой персональные данные больше не требуются, уж никак не является простой задачей, а уничтожению препятствуют ограничения, связанные с особенностями технологий.
По сравнению с британским Законом о защите персональных данных (DPA), закон Евросоюза об общих требованиях к защите персональных данных (GDPR) мало что меняет с точки зрения сроков хранения. 5-й принцип DPA стал пунктом (е) статьи 5 GDPR, согласно которому «… (данные) хранятся в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это необходимо для целей, в которых обрабатываются персональные данные» (см. ). Обязательный минимальный срок хранения также упоминается в правиле 39 и статье 25. В обоих случаях сказано, что период, в течение которого можно хранить персональные данные, должен быть «сведён к строгому минимуму», и что системы по умолчанию должны проектироваться таким образом, чтобы минимизировать срок хранения персональных данных. На деле это строгий минимум фактически становится максимальным сроком хранения, допускаемым в отношении персональных данных.
Но это еще не все. В GDPR вводится принцип подотчетности, в соответствии с которым организации обязаны документировать процессы управления персональными данными на протяжении всего их жизненного цикла, от создания до уничтожения. Документация принимает форму политик, процессов, перечней и указаний по срокам хранения и действиям по их истечении, а также других важных документов. Для регламентации хранения требуется не только указать срок хранения и меры по уничтожению, но и обосновать каждое принятое решение о сроках хранения и порядке уничтожения. Контролирующий орган — Управления уполномоченного по информации (Information Commissioner’s Office, ICO) очень ясно даёт понять, что вся эта документация необходима для аудита и расследований: «Вам может быть предъявлено требование о представлении этих документов соответствующему надзорному органу для целей расследования» (см. ).

Возвращаясь к срокам хранения, следует отметить, что принятие решения о максимальном сроке хранения – непростое дело. Сроки хранения персональных данных определяются не одним только законом GDPR, существуют и иные законы и нормативные акты (например, налоговое и финансовое законодательство, другие специфические отраслевые нормы), которые необходимо принять во внимание при установлении соответствующих требованиям GDPR сроков хранения. Бывают ситуации, когда есть ряд заинтересованных сторон с различными потребностями в плане хранения информации в соответствии с законодательно-нормативными требованиями, имея в виду, что персональные данные попадают в контракты, финансовые, кадровые документы, в документы, отражающие деловые транзакции, а также во многие другие. Сроки хранения персональных данных будут установлены по итогам переговоров с этими заинтересованными сторонами. Целью таких переговоров является подбор срока хранения, который соответствует всем применимым законам и нормативных актам. Закон GDPR позволяет организациям решать, сколь долго им нужны персональные данные, при условии, что соответствующие решения являются обоснованными и надлежащим образом задокументированы.
Реализация на практике указаний по срокам хранения персональных данных и выполнение мер по их уничтожению оказывается ещё сложнее. Два фактора препятствуют этой работе:

  • Информационная архитектура. В основе большинства наборов данных и материалов / документов / контента коммерческой организации лежат данные о клиентах / пользователях, что требует исполнения требований закона GDPR. Корпоративная архитектура является сложной, так что найти все объекты персональных данных во взаимосвязанных информационных системах трудно, это требует немало времени и ресурсов. Ошибки при вводе и дублирование данных также могут помешать проведению полного уничтожения персональных данных (поскольку не будут уничтожены все копии).
  • Технологии. Большинство информационных систем (за исключением некоторых ECM-систем с модулями управления документами, и Microsoft SharePoint) не имеют встроенной технологии, обеспечивающей установление и отслеживание сроков хранения, а затем уничтожение данных по истечении этого срока. Наибольшее беспокойство вызывают базы и хранилища данных, которые необходимо специально спроектировать и настроить, чтобы обеспечить полное необратимое уничтожение персональных данных в конце их срока хранения. Насколько мне известно, в целом современные технологии не отвечают требованиям GDPR.

Вывод
Закон GDPR затрагивает не только информационную безопасности и соответствие стандарту ISO 27001, он также касается управления жизненным циклом персональных данных и наличия поддерживающих такое управление технологий. Спросите об этом специалиста по управлению документами!
Лючия Стефан (Lucia Stefan)

Обработка персональных данных сотрудника

Обработка персданных — это действия с личной информацией работника, когда работодатель принимает сотрудника в штат или заключает договор ГПХ; работник продвигается по карьерной лестнице и т.д. Во время обработки соблюдайте требования статьи 86 ТК РФ:

  • у обработки должна быть цель и основания;
  • запрещена передача личных сведений работника третьим лицам без его письменного согласия;
  • персональные сведения передает сам гражданин.

В локальных актах предприятия нужно прописать Правила защиты личных сведений о работниках. Работники обязаны ознакомится с этими правилами и расписаться о согласии с документом. Для порядка и безопасности организации нужно создать положения и приказы для работы с персданными. Во время проверки у вас должны быть подготовлены: Положение о персональных данных, Заявление работника с согласием на обработку личных данных, Приказ о назначении ответственных за работу с личной информацией работников, Приказ об обеспечении безопасности личных сведений работников.

Хранение и использование данных о персонале

Работодатель обязан ввести порядок хранения и использования сведений о работниках (ст. 87 ТК РФ). Документы по сотруднику объединяются в личное дело. Порядок хранения и ведения личных дел вводит и контролирует работодатель. Личные дела руководителей компании, работников, имеющих государственные звания, и так далее хранятся постоянно. Личные дела других работников храните 75 лет. Ответственность по хранению, ведению, учету, выдаче трудовых книжек тоже возлагается на работодателя.

Правила передачи персданных налагают на работодателя ряд ограничений. Ограничения устанавливаются согласно статье 88 ТК РФ:

  • известите лиц, которые получили доступ к информации о работнике, что ее следует использовать только в тех целях, для которых они были сообщены;
  • передача данных внутри одной компании должна проходить согласно правилам локального акта, с которым работник был ознакомлен;
  • доступ к данным получают только специально уполномоченные лица;
  • запрещено делать запрос о здоровье работника у медицинского учреждения.

Работники имеют право на предоставление полной информации об их личных сведениях и их обработке (кому передавались сведения и для чего). Также нужно обеспечить сотрудникам свободный доступ к своим личным сведениям и медицинским данным. Помните, что работник имеет право обжаловать в суде незаконные действия работодателя и привлечь должностное лицо-нарушителя к уголовной или административной ответственности.

Ответственность за нарушение правил работы с личной информацией

В соответствии с ТК РФ, нарушители норм обработки и защиты личных сведений работника привлекаются к разным видам ответственности.

  • К дисциплинарной ответственности относятся замечание, выговор, увольнение.
  • К административной ответственности относятся предупреждение или штраф от 3 до 5 МРОТ.
  • К материальной ответственности привлекаются работники, которые непосредственно обрабатывают персональную информацию. В случае незаконного распространения информации сотрудник организации может заявить о моральном вреде и потребовать его возмещения у работодателя.
  • Уголовная ответственность по ст. 137 УК РФ за незаконное распространение сведений о лице без его согласия предусматривает штраф в сумме до 200 000 рублей, либо обязательные работы от 120 до 180 часов, либо арест до 4 месяцев.

Работа с личными сведениями требует высокого уровня ответственности. Соблюдайте правила и помните о контроле Трудовой инспекции.

Автор статьи: Александра Аверьянова

Ведите простой кадровый учет в веб-сервисе Контур.Бухгалтерия. Начисляйте зарплату, легко считайте пособия, удержания и командировочные, автоматически готовьте отчеты по сотрудникам и отправляйте их через интернет. А еще — ведите учет, платите налоги, сдавайте налоговую и бухгалтерскую отчетность и пользуйтесь поддержкой наших экспертов. Первый месяц работы в сервисе — бесплатно.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *