Персональные данные: что это такое и где их хранение защищено на законодательном уровне?

В Российской Федерации понятие персональной информации закреплено на законодательном уровне. Оно тесно связано с конфиденциальностью и предусматривает формализованные способы передачи, распространения и хранения сведений.

О последнем пункте мы и поговорим подробно. Вы узнаете все нюансы хранения персональных данных в нашей стране, прочитаете о последних нововведениях в этой сфере и узнаете о правилах обработки персональных данных на электронных и бумажных носителях.

Скрыть содержание

Что это такое?

Впервые понятие персональных данных в России было определено в законодательном акте «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 года. Терминология по хранению персональных данных сформировалась позже.

В 2001 году в Трудовом кодексе России появилась 14 глава, посвященная защите персональных данных сотрудников, а спустя 15 лет правительство, наконец, сформировало термины по обращению с конфиденциальной информацией.

Под хранением информации подразумевается способ ее распространения во времени и пространстве при помощи определенного носителя. Основными условием и целью хранения данных называется обеспечение к ней постоянного доступа или доступа по требованию.

Хранение данных является составной частью обработки информации. Когда гражданин дает согласие на обработку персональных данных, речь идет о сборе, накоплении, уточнении, извлечении, обновлении и хранении информации.

Где можно хранить на территории РФ?

Федеральный закон №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных ведомостей в информационно-телекоммуникационных сетях» предусматривает два основных места хранения, или носителя – бумажный и электронный.

Хранить данные разрешается на следующих носителях.

  1. Компьютерные жесткие диски (внутри серверов дата-центров, расположенных на территории Российской Федерации).
  2. Флэш-накопители памяти.
  3. CD, DVD диски и носители других форматов.
  4. Облачные сервера, предоставляемые юридическими лицами для хранения информации.
  5. Бумажные носители (бланки, формы, документы, справки).

Основные правила

Основные правила хранения ПД утверждены Федеральным законом «О персональных данных».

В пункте 7 статьи 5 закона сказано, что хранение информации должно осуществляться в форме, не позволяющей определить субъекта (владельца) ведомостей более длительное время, чем того требуют цели конкретного информационного взаимодействия.

Также уточняется, что длительность хранения должна устанавливаться федеральным законом, договором или другими актами между субъектом и оператором сведений такого типа. Доступ к ведомостям должен быть максимально ограничен.

Работники подписывают документы о неразглашении, а также ведут учет всех сохраняемых данных, указывая:

  • Наименование, тип, емкость документа.
  • Местонахождение носителя.
  • Дата начала хранения (регистрации).
  • Ответственное за хранение лицо.
Внимание! Хранить персональные данные граждан, согласно акту 149-ФЗ, можно только на серверах, которые физически находятся на территории Российской Федерации.

На практике это означает, что, например, банки, постоянно работающие с конфиденциальными сведениями, должны иметь свои дата-центры в РФ или обратиться в дата-центры, предлагающие услуги ро размещению серверов.

Подробная инструкция, как хранить на носителях

На бумажных

Для операторов, хранящих информацию на бумажных носителях, разрабатывается «Регламент учета, хранения и уничтожения физических носителей персональных данных». В нем указаны все особенности работы с ПД на конкретном предприятии.

Скачать образец инструкции учета, хранения и уничтожения физических носителей ПД

У каждого оператора должна быть политика хранения сведений персонального характера, включающая такие пункты:

  1. Назначение ответственного лица.
  2. Организация допусков к конфиденциальной информации некоторых работников на основе приказов, оформленных на физических носителях.
  3. Организация специализированных хранилищ с ограниченным доступом.
  4. Обеспечение отдельного хранения персональных сведений с разными целями обработки или несовместимыми целями.
  5. Использование разных носителей для разновидностей ПД, не относящихся к одной категории.
  6. Оформление документов с ПД согласно законодательству (вписывается шапка с целью обработки ведомостей, наименованием оператора информации, его контактов).
  7. Сопровождение всех документов отметкой о согласии субъекта на обработку сведений о нем.

Электронные

Персональные сведения относятся к конфиденциальной информации, поэтому должны быть защищены. Для всех операций с такими ведомостями, включая хранение, используются «Информационные системы персональных данных» (ИСПД).

Их в России принято делить на четыре категории в зависимости от важности и объема информации.

  • Категория 1. Типовая информационная система персональных данных с ведомостями более чем на 100 тысяч субъектов. В ней содержится информация о расовой, национальной принадлежности, политических взглядах, религии, интимной жизни и другие ведомости, распространение которых окажет явное негативное влияние на жизнь физических лиц.
  • Категория 2. Система вмещает в себя персональные ведомости, разглашение которых позволит третьим лицам получить о физическом лице дополнительные ведомости, кроме данных, относящихся к первой категории.
  • Категория 3. Система с персональными сведениями, которые дают возможность идентифицировать физическое лицо.
  • Категория 4. Предусматривает хранение обезличенных персональных данных, раскрытие которых не окажет негативного влияния.

Процесс хранения начинается с создания такой системы и ее проверки государственными органами России. После этого оператор должен обеспечить все требования по инженерной защите помещения, проверяется соответствие системы по:

  1. требованиям пожарной безопасности;
  2. охране;
  3. электрическому питанию;
  4. заземлению;
  5. санитарным требованиям.
Последним пунктом является аттестация или сертификация ИСПД. Если ИСПД готова, то компании предстоит прописать юридическую основу всех процессов с персональными сведениями, которая будет появляться на сайте перед введением ведомостей о пользователе в форму.

Она может называться как угодно, например, «Политика обработки персональных данных» или «Согласие на хранение личной информации».

Скачать образец Политики обработки персональных данных

Главное, чтобы клиент мог ознакомиться с ней и нажать на “галочку”, выразив таким образом свое согласие на предоставление оператору информации. Весь процесс хранения такой информации регламентируется законодательными актами о конфиденциальных данных.

Запрещается передавать их третьему лицу, а также использовать в целях, которые не были указаны изначально.

Для операторов, работающих с электронными носителями, инструкция будет выглядеть следующим образом:

  1. Доступ к данным необходимо ограничить.
  2. Передавать информацию по зашифрованным каналам.
  3. Иметь документацию по ПД.
  4. Вести учет физических носителей, если есть.
  5. Предотвращать утечки.
  6. Раздельно хранить информацию, которая обрабатывается с разными целями.
  7. Уничтожать информацию после обработки после 30 дней хранения (желательно) или по истечении шести месяцев (в обязательном порядке).

Размещать данные компании могут как им удобно, в том числе на современны облаках.

В государстве четко регламентированы процессы хранения ПД, все операторы такой информации должны пройти ряд проверок и доказать свою способность обеспечить информации конфиденциальность. В случае несанкционированного распространения или доступа к данным, оператор несет гражданскую, материальную и даже уголовную ответственность.

Комментарии 0
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий