Персональные данные: что это такое и где их хранение защищено на законодательном уровне?
В Российской Федерации понятие персональной информации закреплено на законодательном уровне. Оно тесно связано с конфиденциальностью и предусматривает формализованные способы передачи, распространения и хранения сведений.
О последнем пункте мы и поговорим подробно. Вы узнаете все нюансы хранения персональных данных в нашей стране, прочитаете о последних нововведениях в этой сфере и узнаете о правилах обработки персональных данных на электронных и бумажных носителях.
Скрыть содержание
- Что это такое?
- Где можно хранить на территории РФ?
- Основные правила
- Подробная инструкция, как хранить на носителях
На бумажных ЭлектронныеЧто это такое?
Впервые понятие персональных данных в России было определено в законодательном акте «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 года. Терминология по хранению персональных данных сформировалась позже.
В 2001 году в Трудовом кодексе России появилась 14 глава, посвященная защите персональных данных сотрудников, а спустя 15 лет правительство, наконец, сформировало термины по обращению с конфиденциальной информацией.
Под хранением информации подразумевается способ ее распространения во времени и пространстве при помощи определенного носителя. Основными условием и целью хранения данных называется обеспечение к ней постоянного доступа или доступа по требованию.
Хранение данных является составной частью обработки информации. Когда гражданин дает согласие на обработку персональных данных, речь идет о сборе, накоплении, уточнении, извлечении, обновлении и хранении информации.
Где можно хранить на территории РФ?
Федеральный закон №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных ведомостей в информационно-телекоммуникационных сетях» предусматривает два основных места хранения, или носителя – бумажный и электронный.
Хранить данные разрешается на следующих носителях.
- Компьютерные жесткие диски (внутри серверов дата-центров, расположенных на территории Российской Федерации).
- Флэш-накопители памяти.
- CD, DVD диски и носители других форматов.
- Облачные сервера, предоставляемые юридическими лицами для хранения информации.
- Бумажные носители (бланки, формы, документы, справки).
Основные правила
Основные правила хранения ПД утверждены Федеральным законом «О персональных данных».
В пункте 7 статьи 5 закона сказано, что хранение информации должно осуществляться в форме, не позволяющей определить субъекта (владельца) ведомостей более длительное время, чем того требуют цели конкретного информационного взаимодействия.
Также уточняется, что длительность хранения должна устанавливаться федеральным законом, договором или другими актами между субъектом и оператором сведений такого типа. Доступ к ведомостям должен быть максимально ограничен.
Работники подписывают документы о неразглашении, а также ведут учет всех сохраняемых данных, указывая:
- Наименование, тип, емкость документа.
- Местонахождение носителя.
- Дата начала хранения (регистрации).
- Ответственное за хранение лицо.
Внимание! Хранить персональные данные граждан, согласно акту 149-ФЗ, можно только на серверах, которые физически находятся на территории Российской Федерации.На практике это означает, что, например, банки, постоянно работающие с конфиденциальными сведениями, должны иметь свои дата-центры в РФ или обратиться в дата-центры, предлагающие услуги ро размещению серверов.
Подробная инструкция, как хранить на носителях
На бумажных
Для операторов, хранящих информацию на бумажных носителях, разрабатывается «Регламент учета, хранения и уничтожения физических носителей персональных данных». В нем указаны все особенности работы с ПД на конкретном предприятии.
Скачать образец инструкции учета, хранения и уничтожения физических носителей ПД
У каждого оператора должна быть политика хранения сведений персонального характера, включающая такие пункты:
- Назначение ответственного лица.
- Организация допусков к конфиденциальной информации некоторых работников на основе приказов, оформленных на физических носителях.
- Организация специализированных хранилищ с ограниченным доступом.
- Обеспечение отдельного хранения персональных сведений с разными целями обработки или несовместимыми целями.
- Использование разных носителей для разновидностей ПД, не относящихся к одной категории.
- Оформление документов с ПД согласно законодательству (вписывается шапка с целью обработки ведомостей, наименованием оператора информации, его контактов).
- Сопровождение всех документов отметкой о согласии субъекта на обработку сведений о нем.
Электронные
Персональные сведения относятся к конфиденциальной информации, поэтому должны быть защищены. Для всех операций с такими ведомостями, включая хранение, используются «Информационные системы персональных данных» (ИСПД).
Их в России принято делить на четыре категории в зависимости от важности и объема информации.
- Категория 1. Типовая информационная система персональных данных с ведомостями более чем на 100 тысяч субъектов. В ней содержится информация о расовой, национальной принадлежности, политических взглядах, религии, интимной жизни и другие ведомости, распространение которых окажет явное негативное влияние на жизнь физических лиц.
- Категория 2. Система вмещает в себя персональные ведомости, разглашение которых позволит третьим лицам получить о физическом лице дополнительные ведомости, кроме данных, относящихся к первой категории.
- Категория 3. Система с персональными сведениями, которые дают возможность идентифицировать физическое лицо.
- Категория 4. Предусматривает хранение обезличенных персональных данных, раскрытие которых не окажет негативного влияния.
Процесс хранения начинается с создания такой системы и ее проверки государственными органами России. После этого оператор должен обеспечить все требования по инженерной защите помещения, проверяется соответствие системы по:
- требованиям пожарной безопасности;
- охране;
- электрическому питанию;
- заземлению;
- санитарным требованиям.
Последним пунктом является аттестация или сертификация ИСПД. Если ИСПД готова, то компании предстоит прописать юридическую основу всех процессов с персональными сведениями, которая будет появляться на сайте перед введением ведомостей о пользователе в форму.Она может называться как угодно, например, «Политика обработки персональных данных» или «Согласие на хранение личной информации».
Скачать образец Политики обработки персональных данных
Главное, чтобы клиент мог ознакомиться с ней и нажать на “галочку”, выразив таким образом свое согласие на предоставление оператору информации. Весь процесс хранения такой информации регламентируется законодательными актами о конфиденциальных данных.
Запрещается передавать их третьему лицу, а также использовать в целях, которые не были указаны изначально.
Для операторов, работающих с электронными носителями, инструкция будет выглядеть следующим образом:
- Доступ к данным необходимо ограничить.
- Передавать информацию по зашифрованным каналам.
- Иметь документацию по ПД.
- Вести учет физических носителей, если есть.
- Предотвращать утечки.
- Раздельно хранить информацию, которая обрабатывается с разными целями.
- Уничтожать информацию после обработки после 30 дней хранения (желательно) или по истечении шести месяцев (в обязательном порядке).
Размещать данные компании могут как им удобно, в том числе на современны облаках.
В государстве четко регламентированы процессы хранения ПД, все операторы такой информации должны пройти ряд проверок и доказать свою способность обеспечить информации конфиденциальность. В случае несанкционированного распространения или доступа к данным, оператор несет гражданскую, материальную и даже уголовную ответственность.